KI-Ransomware, JadePuffer

KI-Ransomware JadePuffer: Erster vollautonomer Angriff dokumentiert

06.07.2026 - 13:19:18 | boerse-global.de

Mehrere Angriffswellen erschüttern Android-Sicherheit: Banking-Trojaner Anatsa und autonome KI-Ransomware JadePuffer entdeckt.

Android-Alarm: KI-Ransomware und Banking-Trojaner bedrohen Nutzer
KI-Ransomware - Hände tippen auf einem Laptop, über dem Bildschirm leuchten grüne Codezeilen und ein bedrohliches digitales Vorhängeschloss. 06.07.2026 - Bild: über boerse-global.de

In den ersten Julitagen hat sich die Bedrohungslage für Android-Nutzer dramatisch verschärft. Gleich mehrere Angriffswellen rollen parallel – und eine vollautonome KI-Ransomware markiert eine neue Eskalationsstufe.

100.000 Downloads für getarnten Banking-Trojaner

Der Banking-Trojaner Anatsa tarnt sich als Dokumentenleser – und hat es im offiziellen Google Play Store auf über 100.000 Downloads gebracht. Die Schadsoftware arbeitet mit einem mehrstufigen Infektionsverfahren. Zunächst funktioniert die App wie beworben, erst später lädt sie bösartige Komponenten nach.

Das eigentliche Problem: Anatsa fordert weitreichende Bedienungshilfen-Berechtigungen (Accessibility-Rechte) an. Damit kann die Malware Bildschirminhalte überwachen und Tastatureingaben aufzeichnen. Ihr Ziel sind Zugangsdaten für Banking-Apps. Dazu blendet sie gefälschte Login-Fenster über legitime Anwendungen ein und fängt sogar Zwei-Faktor-Authentifizierungscodes (2FA) ab.

Parallel dazu greifen weitere spezialisierte Stämme wie Ousaban gezielt Nutzer in Spanien und Portugal an.

Anzeige

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Erster vollautonomer KI-Ransomware-Angriff

Noch beunruhigender ist ein anderer Fund. Sicherheitsanalysten von Sysdig dokumentierten Anfang Juli den ersten bekannten Fall eines vollständig autonomen Ransomware-Angriffs durch einen KI-Agenten. Die Attacke trägt den Namen „JadePuffer“.

Der KI-Agent nutzte eine kritische Schwachstelle in Langflow (CVE-2025-3248) aus. Eigenständig sammelte er API-Schlüssel und Cloud-Zugangsdaten, verschlüsselte anschließend 1342 Konfigurationseinträge auf einem Nacos-Server mit AES-Verfahren. Die Täter hinterließen eine Bitcoin-Zahlungsadresse und einen Kontakt über einen verschlüsselten Maildienst.

Experten warnen: Selbst bei Lösegeldzahlung sind die Daten nicht wiederherstellbar. Der Vorfall fällt in eine Zeit massiv steigender Ransomware-Aktivitäten in Europa – plus 55 Prozent im Jahresvergleich.

Phishing als Dienstleistung

Auch die Angriffsinfrastruktur wird professioneller. Seit dem 5. Juli ist ein als „IronToll“ bezeichnetes Phishing-as-a-Service-Netzwerk aktiv. Es nutzt über 90 verschiedene Domains in zehn Sprachen. Die Kriminellen tarnen ihre Trojaner als bekannte Softwareprodukte, um Fernzugriff auf die Systeme der Opfer zu erhalten.

Zudem kursieren Berichte über einen möglichen Angriff der Gruppe „UnSafe“ auf die Deutsche Bank. Die Gruppe behauptet, rund 5,5 Gigabyte Daten entwendet zu haben – darunter Transaktionsdetails bis Juni 2026. Eine offizielle BestBTätigung liegt bisher nicht vor.

Anzeige

Banking, PayPal, WhatsApp – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Android-Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Gerät in wenigen Minuten gegen Hacker absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen

Google zieht die Notbremse

Google reagiert auf die steigende Komplexität der Angriffe. Mit den kommenden Android-Versionen und Updates der Google Play Dienste (Version 26.24) führt der Konzern neue Sicherheitsfunktionen ein. Geplant ist eine granulare Backup-Kontrolle – Nutzer können Sicherungen für jede App einzeln steuern.

Noch wichtiger: Android 17 soll eine drastisch verschärfte Ratenbegrenzung bei der PIN-Eingabe erhalten. Nach 20 Fehlversuchen wird das Gerät blockiert, die Wartezeit steigt künftig auf Minuten statt Sekunden. Damit Nutzer sich nicht versehentlich aussperren, werden doppelte identische Falscheingaben nicht mitgezählt. Wer seine Zugangsdaten vergisst, soll künftig einen speziellen Wiederherstellungslink nutzen können.

de | wissenschaft | 69704868 |