KI-Ransomware JadePuffer: Erster vollautonomer Angriff dokumentiert
06.07.2026 - 13:19:18 | boerse-global.de
In den ersten Julitagen hat sich die Bedrohungslage für Android-Nutzer dramatisch verschärft. Gleich mehrere Angriffswellen rollen parallel – und eine vollautonome KI-Ransomware markiert eine neue Eskalationsstufe.
100.000 Downloads für getarnten Banking-Trojaner
Der Banking-Trojaner Anatsa tarnt sich als Dokumentenleser – und hat es im offiziellen Google Play Store auf über 100.000 Downloads gebracht. Die Schadsoftware arbeitet mit einem mehrstufigen Infektionsverfahren. Zunächst funktioniert die App wie beworben, erst später lädt sie bösartige Komponenten nach.
Das eigentliche Problem: Anatsa fordert weitreichende Bedienungshilfen-Berechtigungen (Accessibility-Rechte) an. Damit kann die Malware Bildschirminhalte überwachen und Tastatureingaben aufzeichnen. Ihr Ziel sind Zugangsdaten für Banking-Apps. Dazu blendet sie gefälschte Login-Fenster über legitime Anwendungen ein und fängt sogar Zwei-Faktor-Authentifizierungscodes (2FA) ab.
Parallel dazu greifen weitere spezialisierte Stämme wie Ousaban gezielt Nutzer in Spanien und Portugal an.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Erster vollautonomer KI-Ransomware-Angriff
Noch beunruhigender ist ein anderer Fund. Sicherheitsanalysten von Sysdig dokumentierten Anfang Juli den ersten bekannten Fall eines vollständig autonomen Ransomware-Angriffs durch einen KI-Agenten. Die Attacke trägt den Namen „JadePuffer“.
Der KI-Agent nutzte eine kritische Schwachstelle in Langflow (CVE-2025-3248) aus. Eigenständig sammelte er API-Schlüssel und Cloud-Zugangsdaten, verschlüsselte anschließend 1342 Konfigurationseinträge auf einem Nacos-Server mit AES-Verfahren. Die Täter hinterließen eine Bitcoin-Zahlungsadresse und einen Kontakt über einen verschlüsselten Maildienst.
Experten warnen: Selbst bei Lösegeldzahlung sind die Daten nicht wiederherstellbar. Der Vorfall fällt in eine Zeit massiv steigender Ransomware-Aktivitäten in Europa – plus 55 Prozent im Jahresvergleich.
Phishing als Dienstleistung
Auch die Angriffsinfrastruktur wird professioneller. Seit dem 5. Juli ist ein als „IronToll“ bezeichnetes Phishing-as-a-Service-Netzwerk aktiv. Es nutzt über 90 verschiedene Domains in zehn Sprachen. Die Kriminellen tarnen ihre Trojaner als bekannte Softwareprodukte, um Fernzugriff auf die Systeme der Opfer zu erhalten.
Zudem kursieren Berichte über einen möglichen Angriff der Gruppe „UnSafe“ auf die Deutsche Bank. Die Gruppe behauptet, rund 5,5 Gigabyte Daten entwendet zu haben – darunter Transaktionsdetails bis Juni 2026. Eine offizielle BestBTätigung liegt bisher nicht vor.
Banking, PayPal, WhatsApp – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Android-Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Gerät in wenigen Minuten gegen Hacker absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Google zieht die Notbremse
Google reagiert auf die steigende Komplexität der Angriffe. Mit den kommenden Android-Versionen und Updates der Google Play Dienste (Version 26.24) führt der Konzern neue Sicherheitsfunktionen ein. Geplant ist eine granulare Backup-Kontrolle – Nutzer können Sicherungen für jede App einzeln steuern.
Noch wichtiger: Android 17 soll eine drastisch verschärfte Ratenbegrenzung bei der PIN-Eingabe erhalten. Nach 20 Fehlversuchen wird das Gerät blockiert, die Wartezeit steigt künftig auf Minuten statt Sekunden. Damit Nutzer sich nicht versehentlich aussperren, werden doppelte identische Falscheingaben nicht mitgezählt. Wer seine Zugangsdaten vergisst, soll künftig einen speziellen Wiederherstellungslink nutzen können.
