Zwei neue Schadprogramme setzen Google unter Druck: Eines nutzt erstmals generative KI, das andere kommt vorinstalliert auf neuen Geräten. Die Sicherheitslage für Android-Nutzer hat sich diese Woche dramatisch verschärft. Während der Backdoor „Keenadu“ bereits ab Werk in der Firmware steckt, setzt „PromptSpy“ als erste Malware überhaupt auf generative KI. Google kontert mit eigenen KI-gestützten Abwehrmaßnahmen – ein Wettlauf, der das mobile Ökosystem grundlegend verändern könnte.
Firmware-Infektion: Der „Keenadu“-Backdoor
Das gefährlichste Merkmal von Keenadu ist seine Verbreitung: Die Malware wurde von Kaspersky-Forschern in der vorinstallierten Firmware mehrerer Android-Gerätemarken entdeckt. Betroffene Smartphones sind damit „aus der Box“ infiziert, ohne dass Nutzer etwas herunterladen müssen. Ein klassischer Supply-Chain-Angriff, der grundlegendes Vertrauen in Hersteller erschüttert.
Doch der Backdoor verbreitet sich auch über OTA-Firmware-Updates und tauchte sogar in Apps des Google Play Stores auf. Einmal aktiv, gewährt er Angreifern fast vollständige Kontrolle. Primär dient er wohl Werbebetrug, sein tiefes Systemzugriff ermöglicht aber weit Schlimmeres. Bisher wurden über 13.000 infizierte Geräte identifiziert – darunter auch in Deutschland.
KI-Waffe: „PromptSpy“ lernt von Gemini
Während Keenadu alte Schwachstellen ausnutzt, eröffnet PromptSpy eine völlig neue Ära. ESET-Forscher entdeckten die erste Android-Malware, die generative KI als Kernkomponente missbraucht. Das Programm nutzt Googles eigenes Gemini-Modell, um sein Verhalten anzupassen und sich auf Geräten festzusetzen.
Die KI generiert Schritt-für-Schritt-Anleitungen, wie die Malware die Benutzeroberfläche manipuliert. So verankert sie sich in der Liste zuletzt verwendeter Apps und lässt sich nicht einfach schließen. Diese Anpassungsfähigkeit macht sie für verschiedene Bildschirmgrößen und Android-Versionen gefährlich. Ihr Ziel: Ein Fernzugriffsmodul zu installieren, das Screenshots, Bildschirmaktivitäten und sogar Sperrbildschirm-Daten erfasst.
Googles KI-Gegenoffensive: 1,75 Millionen Apps blockiert
Angesichts der neuen Bedrohungen hat Google seine Abwehrmaßnahmen detailliert. Das Unternehmen blockierte 2025 über 1,75 Millionen schädliche Apps noch vor der Veröffentlichung im Play Store. Mehr als 80.000 Developer-Accounts wurden gesperrt. Zudem stoppte Google 255.000 Apps, die übermäßige Zugriffsrechte forderten.
„Angreifer nutzen zunehmend KI, also müssen wir das auch“, erklärt das Unternehmen. Die Investitionen in Echtzeit-Abwehrsysteme wurden massiv erhöht. Geplant sind zudem strengere Verifizierungen für Android-Entwickler, um anonymen Angreifern das Leben schwerer zu machen. Der hauseigene Dienst Google Play Protect scannt täglich über 350 Milliarden Apps.
Diese Vorfälle zeigen, wie schnell sich Bedrohungen weiterentwickeln – inklusive KI-gestützter Angriffe und Supply‑Chain‑Risiken. Ein kostenloses E‑Book „Cyber Security Awareness Trends“ erklärt aktuelle Angriffsarten (auch KI‑Missbrauch), praxisnahe Schutzmaßnahmen für Unternehmen und IT‑Verantwortliche sowie sofort umsetzbare Schritte für kleine IT‑Teams. Wenn Sie sich proaktiv gegen Malware, Phishing und Firmware‑Risiken wappnen wollen: Jetzt kostenloses Cyber-Security-E-Book herunterladen
Sicherheits-Wettrüsten: Vom Werk bis zum App-Store
Die Doppelbedrohung markiert eine Zeitenwende. Keenadu offenbart, wie verwundbar globale Lieferketten sind – ein Problem, das sich kaum durch App-Store-Beschränkungen lösen lässt. Wenn Malware vorinstalliert ist, helfen selbst grundlegende Sicherheitstipps nicht mehr.
PromptSpy hingegen startet ein technologisches Wettrüsten. Während Plattformbetreiber wie Google KI zur Bedrohungserkennung nutzen, setzen Angreifer dieselbe Technologie für raffiniertere Malware ein. Die Folge: Beide Seiten werden immer ausgefeiltere Methoden entwickeln. Für das gesamte Android-Ökosystem bedeutet dies, jede Schwachstelle zu schützen – von der Fabrikhalle bis zur App-Prüfung.
Was Nutzer jetzt wissen müssen
Die Entwicklung zeigt: Android-Sicherheit wird komplexer. Nutzer sollten Sicherheitsupdates sofort installieren und bei App-Berechtigungen besonders kritisch sein. Auch vermeintlich vertrauenswürdige Quellen – wie vorinstallierte Apps – bergen Risiken. Googles Play Protect bietet eine wichtige Grundabsicherung, kann aber Firmware-Infektionen nicht immer erkennen.
Für Hersteller steigt der Druck, Produktions- und Update-Prozesse abzusichern. Google muss seine KI-gestützten Protokolle weiter ausbauen und die angekündigten Developer-Verifikationen zügig umsetzen. In diesem Wettlauf zwischen Angriff und Abwehr wird sich zeigen, ob offene Plattformen wie Android mit der wachsenden Bedrohungslage Schritt halten können.
