PromptSpy: Erste Android-Malware nutzt KI für Angriffe

Sicherheitsforscher haben die erste Android-Malware entdeckt, die generative KI für ihre Attacken einsetzt. Die Schadsoftware namens PromptSpy missbraucht Googles KI-Modell Gemini, um sich in Smartphones einzunisten. Diese Entwicklung markiert einen gefährlichen Wendepunkt für die mobile Sicherheit.

Das europäische IT-Sicherheitsunternehmen ESET identifizierte die Bedrohung in der vergangenen Woche. PromptSpy agiert nicht mit fest programmierten Befehlen. Stattdessen analysiert die Malware den Bildschirm des infizierten Geräts per KI und leitet daraus eigenständig ihre nächsten Schritte ab. Experten warnen vor dem Potenzial dieser Technik, die Effektivität von Schadsoftware drastisch zu erhöhen.

Da Cyberkriminelle zunehmend KI nutzen, um Android-Smartphones anzugreifen, wird der richtige Basisschutz für Nutzer immer wichtiger. Dieser Gratis-Ratgeber zeigt Ihnen, mit welchen 5 einfachen Maßnahmen Sie WhatsApp, Banking und Ihre persönlichen Daten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

So macht KI den Angriff universell

Die Malware überwindet ein Kernproblem: die Fragmentierung des Android-Ökosystems. Ihr Ziel ist die dauerhafte Installation. Dazu erfasst PromptSpy den Bildschirminhalt und schickt die Daten an Googles Gemini-KI. Das Modell analysiert die Benutzeroberfläche und gibt präzise Anweisungen zurück – etwa welche Schaltfläche zu drücken ist, um die App in der Übersicht zu „pinnen“.

Diese Methode funktioniert unabhängig von Hersteller oder Android-Version. Einmal aktiv, missbraucht die Software die Bedienungshilfen von Android, um weitreichende Berechtigungen zu erschleichen. Angreifer übernehmen dann per Fernsteuerungsmodul die vollständige Kontrolle. Sie können den Bildschirm ausspähen, Tastatureingaben lesen, den Sperrcode abfangen und sogar Banküberweisungen initiieren.

Gefährlicher Proof-of-Concept mit klarer Zielrichtung

PromptSpy zirkuliert derzeit noch nicht massenhaft. Die Forscher fanden jedoch klare Hinweise auf die Verbreitung. Die Malware tarnt sich als gefälschte Banking-App „MorganArg“, eine Nachahmung der Chase/JPMorgan-Anwendung. Sie wird über manipulierte Webseiten verteilt und zielt aktuell auf Nutzer in Argentinien ab. Sprachspuren im Code deuten auf Urheber aus einem chinesischsprachigen Umfeld hin.

Die eigentliche Gefahr liegt in der demonstrierten Technik. Die dynamische Anpassungsfähigkeit macht Schutzmechanismen, die auf starren Verhaltensmustern basieren, weniger wirksam. Zudem erschwert die Malware ihre Deinstallation, indem sie unsichtbare Elemente über wichtige Entfernen-Schaltflächen legt. KI wird hier nicht als Schlagwort, sondern als funktionaler Kern zur Überwindung von Sicherheitsbarrieren genutzt.

Herkömmliche Sicherheits-Updates allein reichen oft nicht aus, um moderne KI-gestützte Schadsoftware abzuwehren. Erfahren Sie in diesem kostenlosen Sicherheitspaket, wie Sie Ihr Android-Gerät durch gezielte Einstellungen und geprüfte Apps spürbar sicherer machen. Kostenlosen Android-Sicherheits-Guide anfordern

Das Wettrüsten erreicht eine neue Stufe

Der Einsatz von KI in der Cybersicherheit ist nicht neu. Bisher nutzten sie vor allem Verteidiger zur Bedrohungserkennung. PromptSpy ist der zweite von ESET identifizierte Fall von KI-gestützter Malware nach der Ransomware „PromptLock“ im August 2025. Entscheidend ist: Es handelt sich um den ersten dokumentierten Fall, bei dem generative KI aktiv in eine Android-Malware integriert wurde.

Die Sicherheitsbranche ist alarmiert. Der Ansatz könnte bald in anderen, weit verbreiteten Malware-Familien auftauchen. Experten raten Nutzern eindringlich, Apps nur aus offiziellen Quellen wie dem Google Play Store zu installieren. Zudem sollten angeforderte Berechtigungen – besonders für Bedienungshilfen – genau geprüft werden. Das Wettrüsten im Cyberspace hat eine neue, intelligente Dimension erreicht.

boerse | 68611665 |