|
Jena (ots) - Cyberkriminelle haben eine technologische Schwelle überschritten:
Erstmals nutzt eine Android-Malware generative KI im laufenden Betrieb, um sich
auf infizierten Geräten einzunisten und sie unter ihre Kontrolle zu bringen.
Forscher des europäischen IT-Sicherheitsunternehmens ESET haben eine neue
Android-Schadsoftware entdeckt, die Google Gemini einsetzt, um sich selbst vor
dem Schließen zu schützen und dauerhaft auf dem Gerät aktiv zu bleiben.
Die Schadsoftware mit dem Namen PromptSpy tarnt sich als Banking-App "MorganArg"
(eine Fälschung der Chase/JPMorgan-App) und wird über gefälschte Webseiten
verbreitet. Bisher richtet sich die Kampagne primär gegen Nutzer in Argentinien,
die Technik ist jedoch global nutzbar. Nach der Installation übernimmt sie das
Gerät nahezu vollständig. Angreifer können den Bildschirm live mitverfolgen,
Eingaben auslesen, den Sperrcode abfangen und Aktionen durchführen, als hielten
sie das Smartphone selbst in der Hand.
KI analysiert den Bildschirm wie ein Mensch
Neu ist vor allem die Art, wie sich die Schadsoftware im System festsetzt. Statt
mit starren Befehlen zu arbeiten, übergibt sie den aktuellen Bildschirminhalt an
Googles KI-Modell Gemini. Dieses analysiert die Oberfläche und liefert Schritt
für Schritt Anweisungen, welche Schaltfläche gedrückt werden muss, damit die App
nicht geschlossen werden kann.
"Die Schadsoftware lässt sich von der KI erklären, was sie als Nächstes tun
muss", sagt Lukas Stefanko von ESET Research. "Damit funktioniert sie auf nahezu
jedem Gerät, unabhängig von Hersteller oder Android-Version. Das macht sie
besonders anpassungsfähig." Nach der Entdeckung der KI-gestützten Ransomware
PromptLock im August 2025 ist dies bereits der zweite Fall, in dem Angreifer
generative KI so tief in den Schadcode integrieren, um technische Hürden zu
überwinden.
Komplettzugriff auf das Smartphone
Ist die App einmal aktiv, installiert sie ein Fernsteuerungsmodul. Kriminelle
können dann den Bildschirm sehen, Nachrichten lesen, Apps öffnen, Überweisungen
auslösen oder Passwörter abgreifen. Selbst ein Entfernen wird erschwert, weil
unsichtbare Elemente bestimmte Schaltflächen blockieren.
"Wir sehen hier eine neue Qualität von Android-Schadsoftware", erklärt Stefanko.
"KI wird nicht nur als Schlagwort genutzt, sondern konkret eingesetzt, um
Schutzmechanismen zu umgehen." Hinweise deuten darauf hin, dass die Entwickler
in einem chinesischsprachigen Umfeld arbeiten. In den offiziellen App-Stores war
die Anwendung nicht verfügbar.
So können sich Nutzer schützen
- Es ist nach wie vor elementar wichtig, Apps ausschließlich aus offiziellen
Quellen wie Google Play zu installieren und keine Anwendungen von unbekannten
Webseiten herunterzuladen. Besonders misstrauisch sollten Nutzer werden, wenn
eine App zusätzliche Berechtigungen für Bedienungshilfen verlangt. Diese
sogenannten "Accessibility"-Funktionen erlauben weitreichenden Zugriff auf das
Gerät und werden von Schadsoftware häufig missbraucht.
- Auch regelmäßige System-Updates reduzieren das Risiko erheblich. Wer den
Verdacht hat, dass sein Gerät kompromittiert wurde, sollte es im abgesicherten
Modus neu starten. In diesem Zustand lassen sich schädliche Anwendungen meist
entfernen, da sie nicht aktiv sind.
- Android-Geräte mit aktiviertem Google Play Protect sind gegen bekannte
Versionen der Schadsoftware geschützt.
Weitere technische Details und Screenshots veröffentlicht ESET im
Sicherheitsblog WeLiveSecurity (https://ots.de/A4aRxd) .
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
mailto:christian.lueg@eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
mailto:Michael.klatte@eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
mailto:Philipp.plum@eset.de
Folgen Sie ESET:
https://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Weiteres Material: http://presseportal.de/pm/71571/6220232
OTS: ESET Deutschland GmbH
|
