PromptSpy: KI-Malware greift Banking-Apps an

Erstmals nutzt Android-Schadsoftware generative KI, um sich auf Handys zu verstecken und Konten zu plündern. Die als „PromptSpy“ identifizierte Bedrohung markiert eine neue Eskalationsstufe im Cyberkrieg gegen Bankkunden. Sie kombiniert präzise Nachahmung von Banking-Apps mit künstlicher Intelligenz, um sich nahezu unsichtbar auf Smartphones zu halten.

KI als Werkzeug für Cyberkriminelle

Die Entdeckung, die Sicherheitsforscher um den 20. Februar 2026 veröffentlichten, schlägt hohe Wellen. PromptSpy ist eine weiterentwickelte Variante der bekannten Schadsoftware VNCSpy. Ihr gefährlichstes Merkmal: Sie nutzt Googles Gemini-KI, um sich dynamisch an jede Bildschirmoberfläche anzupassen. Das macht die Erkennung und Entfernung extrem schwierig.

Die Malware wird über gefälschte Webseiten verbreitet, die seriöse Banken wie die Chase Bank nachahmen. Ein erster bekannter Angriff zielte auf Nutzer in Argentinien. Die Opfer laden ein vermeintliches Banking-APK namens „MorganArg“ herunter – und öffnen Cyberkriminellen damit Tür und Tor.

Vollzugriff per Fernsteuerung

Nach der Installation sichert sich PromptSpy umfassende Rechte, insbesondere für die Android-Barrierefreiheitsdienste. Diese eigentlich für Hilfsfunktionen gedachten Tools missbraucht die Software, um Deinstallationsversuche zu blockieren. Kern des Angriffs ist ein VNC-Modul (Virtual Network Computing).

Es gewährt den Angreifern Echtzeit-Fernzugriff auf das infizierte Gerät. Sie sehen den Bildschirm, können Tastatureingaben abfangen und sogar Gesten steuern. So gelangen sie an PINs, Passwörter und entsperrte Geräte – und damit an alle darauf installierten Banking-Apps und Konten.

Die KI denkt mit: Eine neue Art von Beharrlichkeit

Hier kommt die KI ins Spiel. Herkömmliche Malware scheitert oft, wenn Menüs oder Buttons leicht von der erwarteten Position abweichen. PromptSpy umgeht dieses Problem elegant: Sie sendet einen XML-Auszug des aktuellen Bildschirms an die Gemini-KI.

Die KI analysiert jedes Textfeld und jeden Button. Anschließend liefert sie präzise JSON-Anweisungen zurück, wie die Malware navigieren muss. Das Ziel? Sich in der Liste der zuletzt verwendeten Apps „festzupinnen“, damit der Nutzer sie nicht einfach wegwischen kann. Diese adaptive, KI-gesteuerte Entscheidungsfindung macht die Bedrohung widerstandsfähiger und vielseitiger.

Banken warnen vor APK-Betrug

Der Fund von PromptSpy fällt in eine Zeit, in der mobile Betrugsangriffe weltweit zunehmen. Nur einen Tag nach der Veröffentlichung der Analyse warnte etwa die indische HDFC Bank ihre Kunden vor einer Flut von APK-basierten Betrugsversuchen.

Die Methode ist ähnlich: Kunden werden per Phishing-Nachricht oder Social Media dazu verleitet, betrügerische Apps aus inoffiziellen Quellen zu installieren. Diese fangen dann SMS-TANs ab, stehlen Login-Daten oder übernehmen – wie PromptSpy – die Fernkontrolle. Die Bank appelliert an alle Nutzer, Apps ausschließlich aus offiziellen Stores wie dem Google Play Store zu laden und Berechtigungen kritisch zu hinterfragen.

Die schnelle Entwicklung von KI-gestützter Malware wie PromptSpy macht klar: Unternehmen und Privatnutzer brauchen praktische Schutzstrategien statt bloßer Panik. Ein kostenloses E‑Book erklärt aktuelle Cyber-Security-Trends, welche KI-Risiken jetzt relevant sind und welche Schutzmaßnahmen Sie sofort umsetzen können – auch ohne großes Budget. Praktische Checklisten helfen, Phishing, APK-Betrug und Remote-Access-Attacken zu erkennen und abzuwehren. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Was bedeutet das für die Sicherheit?

Die Integration von KI in Schadsoftware verändert das Spiel. Die Bedrohungen werden autonomer, anpassungsfähiger und umgehen statische Abwehrmaßnahmen. Die Finanzbranche und Cybersicherheitsfirmen müssen nun mit KI-gestützten Verteidigungssystemen nachziehen, die Verhaltensanomalien in Echtzeit erkennen.

Die Zukunft der digitalen Banksicherheit liegt in einer mehrschichtigen Strategie:
* KI-gestützte Betrugserkennung der Banken
* Robuste Authentifizierung wie Biometrie
* Wachsame Nutzer, die nur offizielle Apps installieren und verdächtige Links ignorieren

PromptSpy zeigt: Im digitalen Finanzwesen ist Sicherheit ein nie endendes Wettrennen zwischen Angreifern und Verteidigern. Die KI hat nun in beiden Lagern Einzug gehalten.