Sicherheitsforscher decken eine beispiellose Welle neuer Android-Schadsoftware auf. Drei hochkomplexe Programme namens PromptSpy, Massiv und Keenadu verbreiten sich über gefälschte Apps und nutzen erstmals generative KI, um Smartphones zu übernehmen. Hunderttausende Downloads aus offiziellen Stores und gezielte Bank-Angriffe in Europa markieren eine neue Bedrohungslage.
PromptSpy: KI blockiert die Deinstallation
Die bemerkenswerteste Entdeckung ist PromptSpy. Diese Android-Malware missbraucht Googles KI Gemini, um dauerhaft auf einem Gerät zu bleiben. Sie tarnt sich als nützliche App und nutzt dann Android-Eingabehilfen, um den Bildschirminhalt auszulesen.
Diese Daten schickt sie an die Gemini-KI. Diese liefert präzise Anweisungen zurück, wo die Malware simulierte Klicks setzen muss. So verankert sie sich in der Liste der zuletzt verwendeten Apps. PromptSpy legt unsichtbare Ebenen über Deinstallations-Schaltflächen. Das hindert Nutzer effektiv daran, die schädliche App zu entfernen.
Das Ziel: Die unbemerkte Installation eines VNC-Moduls. Dieses ermöglicht Angreifern eine komplette Fernsteuerung des Smartphones.
Massiv-Trojaner: Gefälschte IPTV-Apps als Falle
Parallel dazu tauchte der Banking-Trojaner „Massiv“ auf. Er versteckt sich in gefälschten IPTV-Anwendungen und nutzt den Trend zu Internet-TV. Die Apps zeigen nach der Installation nur eine harmlose Webseite, während im Hintergrund die Malware aktiv wird.
Massiv ist auf Geräteübernahme spezialisiert. Der Trojaner fängt SMS-Nachrichten ab, zeichnet Tastatureingaben auf und streamt den Bildschirm. Zudem blendet er gefälschte Anmeldefenster über echten Banking-Apps ein, um Zugangsdaten abzugreifen.
Die jüngsten Kampagnen zielten vor allem auf Nutzer in Portugal, Griechenland, Spanien und Frankreich. Auch staatliche Identitäts-Apps standen im Visier der Angreifer.
Keenadu: 300.000 Downloads aus dem Play Store
Die Backdoor-Malware „Keenadu“ zeigt, dass selbst offizielle Stores keinen absoluten Schutz bieten. Gefälschte Smart-Kamera-Apps im Google Play Store enthielten den schädlichen Code und wurden über 300.000 Mal heruntergeladen.
Noch bedrohlicher: Bei rund 13.000 Geräten war Keenadu bereits ab Werk in der Firmware vorinstalliert. Betroffen waren vor allem preisgünstige Android-Tablets. Zu den am stärksten betroffenen Ländern zählten Deutschland, Russland, Japan und Brasilien.
Keenadu nistet sich tief im System ein und nutzt Android-Hintergrundprozesse. Die Angreifer nutzen die Kontrolle derzeit für Anzeigenbetrug, könnten aber jederzeit persönliche Daten stehlen.
Paradigmenwechsel durch KI
Die zeitgleiche Aufdeckung der drei Schadprogramme zeigt eine besorgniserregende Professionalisierung. Die Integration generativer KI markiert einen Paradigmenwechsel. Herkömmliche Malware scheitert oft an neuen Oberflächen – KI ermöglicht eine dynamische Anpassung.
Dieser Trend war absehbar. Bereits im August 2025 tauchte mit PromptLock die erste KI-gestützte Schadsoftware auf. Die schnelle Adaption für mobile Plattformen unterstreicht, wie agil Cyberkriminelle neue Werkzeuge übernehmen.
Der Fall Keenadu belegt zudem mehrstufige Strategien. Die Kombination aus manipulierter Firmware und Apps in offiziellen Stores erfordert ein Umdenken bei Sicherheitskonzepten.
Was Nutzer jetzt tun müssen
Angesichts dieser Entwicklung ist höchste Vorsicht geboten.
Wer sich vor KI‑gestützter Android‑Malware wie PromptSpy, Massiv oder Keenadu schützen möchte, findet praxisnahe Hilfe im kostenlosen E‑Book „Cyber Security Awareness Trends“. Der Leitfaden erklärt aktuelle Angriffsformen, konkrete Schutzmaßnahmen für Smartphones und Unternehmen sowie wichtige Handlungsempfehlungen im Umgang mit KI‑Risiken. Kostenlosen Cyber-Security-Guide herunterladen
Experten raten, auch bei Apps aus offiziellen Stores die geforderten Berechtigungen kritisch zu prüfen. Apps, die ohne nachvollziehbaren Grund Zugriff auf Eingabehilfen verlangen, sollten sofort gelöscht und gemeldet werden.
Ist ein Gerät bereits infiziert, empfehlen Spezialisten den Start im abgesicherten Modus. Nur in dieser Umgebung lassen sich derart komplexe Schadprogramme noch zuverlässig entfernen. Der integrierte Schutz von Android bietet nur eine grundlegende Abwehr – die Evolution der Malware ist schneller.
