KidsProtect und Morpheus: Neue Android-Spyware auf dem Vormarsch

Cybersicherheitsforscher haben zwei neue Schadsoftware-Familien entdeckt, die nach dem „Franchise-Prinzip" funktionieren und Nutzer sogar physisch von ihren Geräten aussperren können. Die zunehmende Professionalisierung der mobilen Cyberkriminalität macht sich bemerkbar.

Angesichts der rasanten Zunahme professioneller Spionage-Apps ist ein grundlegender Schutz für jedes Android-Gerät unverzichtbar. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Smartphone effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Franchising der Überwachung: Das KidsProtect-Modell

Am heutigen Freitag veröffentlichte das Sicherheitsunternehmen Certo einen Bericht über eine neue Android-Spyware namens KidsProtect. Das Besondere: Die Plattform wird als White-Label-Dienst angeboten. Für umgerechnet etwa 55 Euro können Käufer den Dienst abonnieren, das Branding anpassen und mit minimalen technischen Kenntnissen einen eigenen Spionagebetrieb starten.

Die Software tarnt sich als legitimes Systemmodul – meist unter dem Namen „WiFi Service". KidsProtect registriert sich als Device Administrator, eine hohe Berechtigungsstufe, die eine normale Deinstallation verhindert. Über ein Web-Dashboard erhalten die Angreifer nahezu vollständige Kontrolle: Sie können Telefonate mitschneiden, Live-Audio streamen, GPS-Daten abgreifen und Tastatureingaben protokollieren. Selbst verschlüsselte Messenger wie WhatsApp, Telegram und Viber sind nicht sicher – die Software fängt Benachrichtigungen ab.

Ein BootReceiver stellt sicher, dass die Malware nach jedem Neustart automatisch neu startet. Während der Installation werden die Opfer aufgefordert, Google Play Protect zu deaktivieren.

Morpheus: Wenn das Display zur Falle wird

Bereits am Dienstag dieser Woche hatte die Organisation Osservatorio Nessuno einen weiteren Schädling namens Morpheus gemeldet. Er wird über gefälschte Android-Apps verbreitet, die sich als Systemupdates tarnen.

Morpheus missbraucht die Accessibility Services von Android. Sobald das Opfer diese Berechtigung erteilt, legt die Malware einen Vollbild-Overlay über das Display – angeblich ein Update- oder Neustart-Bildschirm. Im Hintergrund läuft jedoch eine automatisierte Kette von Konfigurationen: Developer Options werden aktiviert, Wireless Debugging eingeschaltet und das Gerät mit einem lokalen ADB-Daemon verbunden.

Um die Infektion nicht zu stören, macht Morpheus den gesamten Bildschirm berührungsunempfindlich. Der Nutzer kann nicht eingreifen, während die Malware bekannte Antivirensoftware deaktiviert – darunter Google SafetyCore sowie Produkte von Bitdefender, Sophos und Malwarebytes. Sogar gefälschte Biometrie-Abfragen werden eingeblendet, um das Opfer zur Freigabe sensibler Aktionen zu bewegen, etwa zur Verknpfung eines WhatsApp-Kontos mit dem Gerät des Angreifers.

Finanzkrieg auf dem Smartphone

Parallel zur Spezialspyware steigt die Bedrohung durch mobile Banking-Trojaner drastisch. Der Zscaler ThreatLabz 2025 Report verzeichnet einen Anstieg von 67 Prozent bei Android-Malware-Transaktionen im Jahresvergleich. Insgesamt 239 schädliche Apps fanden sich im Google Play Store, die zusammen mehr als 42 Millionen Mal heruntergeladen wurden.

Da Hacker oft veraltete Systemversionen für ihre Angriffe auf Banking-Apps nutzen, ist die richtige Update-Strategie entscheidend für Ihre Sicherheit. Erfahren Sie in diesem Gratis-Report, wie Sie Sicherheitslücken schließen und gefährliche Apps rechtzeitig erkennen. 5 einfache Schritte für ein sicheres Android-Smartphone

Neue Schadsoftware-Familien wie Albiriox und RatOn haben den einfachen Passwortdiebstahl hinter sich gelassen. Sie betreiben „On-Device Fraud": Albiriox bietet als MaaS-Angebot eine Live-Fernsteuerung, bei der Angreifer in Echtzeit durch Banking-Apps navigieren können, während der Bildschirm des Opfers gestreamt wird.

RatOn kombiniert Fernzugriff mit NFC-Relay-Angriffen: Ein kompromittiertes Smartphone kann genutzt werden, um an Geldautomaten Geld abzuheben oder in Geschäften zu bezahlen – indem die Zahlungssignale an eine „Tapper"-App eines Geldkuriers weitergeleitet werden. Erste Kampagnen zielten auf Österreich und Tschechien, doch die modulare Architektur erlaubt eine schnelle Anpassung auf hunderte Banken und Kryptobörsen weltweit.

Industrie und Verteidigung: Neue Fronten

Die Bedrohungslage betrifft längst nicht mehr nur Privatnutzer. Der Energiesektor verzeichnete einen Anstieg der Angriffe um 387 Prozent im Vergleich zum Vorjahr. Fertigung und Transportwesen bleiben ebenfalls Hochrisikobereiche – zusammen entfallen über 40 Prozent aller beobachteten IoT- und Mobilfunk-Malware-Vorfälle auf diese Branchen.

Google hat reagiert: 2024 blockierte das Unternehmen rund 2,36 Millionen Apps und sperrte 158.000 Entwicklerkonten. Über 92 Prozent der manuellen Überprüfungen werden inzwischen durch KI unterstützt. Google Play Protect scannt täglich über 200 Milliarden Apps und führt Echtzeit-Analysen auf Code-Ebene durch – auch bei Installationen außerhalb des Play Stores.

Doch die Angreifer passen sich an. Der Einsatz schädlicher DNG-Bilddateien, wie in der LANDFALL-Kampagne gegen Samsung-Geräte (CVE-2025-21042), zeigt: Zero-Click-Exploits über Messenger bleiben eine ernste Gefahr. Sicherheitsexperten raten zu Zero-Trust-Architekturen und warnen davor, systemseitige Schutzfunktionen wie Play Protect zu deaktivieren – genau das, was Malware wie KidsProtect und Morpheus von ihren Opfern verlangt.

de | wissenschaft | 69269709 |