Eine neue, hochgefährliche Malware-Kampagne namens DarkSpectre hat weltweit bereits über 8,8 Millionen Nutzer infiziert. Sicherheitsforscher deckten auf, dass die Schadsoftware über scheinbar harmlose Browser-Erweiterungen operiert und nun gezielt auch Android-Smartphones angreift.
Besonders alarmierend: Die Bedrohung nutzt mobile Browser wie Firefox für Android oder Yandex als Einfallstor. Eine spezifische mobile Variante trägt den Namen „Infinity New Tab for Mobile“. Die Kampagne zeigt, dass das Android-Ökosystem durch unterstützte Add-ons nicht mehr sicher ist.
Die Sicherheitsfirma Koi Security hat die Struktur von DarkSpectre entschlüsselt. Die Operation gliedert sich in drei spezialisierte Teams mit unterschiedlichen Zielen.
Malware‑Kampagnen wie DarkSpectre nutzen Browser‑Add‑ons, um unbemerkt Daten zu exfiltrieren — besonders gefährlich für Firmen und mobile Anwender. Ein kostenloser Experten‑Leitfaden erklärt, wie Sie Erweiterungen prüfen, verdächtige Berechtigungen erkennen und sofortige Schutzmaßnahmen einführen, ohne teure Tools. Der Leitfaden enthält Checklisten, konkrete Konfigurationsbeispiele für Android‑Browser und eine Schritt‑für‑Schritt‑Anleitung für IT‑Teams und Privatanwender. Gratis Cyber-Security-Guide herunterladen
- ShadyPanda ist seit Jahren aktiv und betreibt klassischen Betrug. Die Gruppe manipuliert Suchergebnisse und stiehlt Daten. Für Android-Nutzer ist die Erweiterung „Infinity New Tab for Mobile“ kritisch, die oft als legitimes Tool zur Produktivitätssteigerung getarnt war.
- GhostPoster zielt primär auf Firefox-Nutzer ab. Da Firefox auf Android Desktop-Erweiterungen erlaubt, besteht hier ein hohes Risiko. Diese Malware versteckt ihren Code in unauffälligen PNG-Bilddateien, um Sicherheitssysteme zu umgehen.
- Zoom Stealer ist die gefährlichste Variante und hat es auf Unternehmensspionage abgesehen. Getarnt als nützliche Meeting-Tools stiehlt sie Daten aus Plattformen wie Zoom, Microsoft Teams und Google Meet. Für Geschäftsleute, die diese Dienste im mobilen Browser nutzen, ist das ein enormes Risiko.
Die tückische „Schläfer“-Taktik
Was DarkSpectre so gefährlich macht, ist ihre Geduld. Viele der schädlichen Erweiterungen agieren zunächst monate- oder sogar jahrelang völlig harmlos. Sie sammeln positive Bewertungen und bauen eine große Nutzerbasis auf.
Erst zu einem späteren Zeitpunkt – ausgelöst durch ein stilles Update – wird der schadhafte Code aktiviert. Einige Erweiterungen warteten Berichten zufolge bis zu fünf Jahre, bevor sie „scharfgeschaltet“ wurden. Auf Android-Geräten passt sich die Malware dem aggressiven Energiemanagement an und sendet Daten nur in kurzen, unauffälligen Stößen. Das macht die Erkennung durch mobile Antiviren-Apps extrem schwierig.
Warum Ihr Android-Browser nicht sicher ist
Viele Nutzer wiegen sich in falscher Sicherheit, weil Chrome auf Android keine Erweiterungen unterstützt. Doch die Realität ist komplexer.
Alternative Browser wie Firefox für Android, Kiwi Browser oder Yandex Browser bewerben explizit die Installation von Add-ons. Installiert man hier eine infizierte VPN-Erweiterung oder einen „Video Downloader“, öffnet man der Malware Tür und Tor.
Ein weiteres Risiko ist die Synchronisation. Selbst wenn das Android-Gerät sauber ist, können synchronisierte Daten wie Passwörter oder Sitzungscookies von einem infizierten Desktop-PC kompromittiert werden. Fängt der „Zoom Stealer“ ein Token ab, haben Angreifer Zugriff – egal, von welchem Gerät man sich danach einloggt.
Was Nutzer jetzt tun müssen
Die Bereinigung der App-Stores läuft. Nutzer sollten jedoch nicht abwarten, sondern aktiv werden.
Sicherheitsexperten empfehlen allen Android-Nutzern, die Browser mit Erweiterungs-Support verwenden, sofort eine Inventur ihrer Add-ons durchzuführen. Entfernen Sie umgehend alle Erweiterungen, die nicht zwingend notwendig sind oder von unbekannten Entwicklern stammen. Seien Sie besonders misstrauisch gegenüber Tools, die „kostenlose“ VPN-Dienste, Video-Downloads oder PDF-Konvertierungen versprechen.
Die Ära, in der das Smartphone als isolierter, sicherer Hafen galt, scheint mit DarkSpectre vorbei zu sein.
PS: Unternehmen und Android‑Nutzer sollten jetzt handeln. Dieser kostenlose Cyber‑Security‑Guide fasst die wichtigsten Abwehrmaßnahmen zusammen: schnelle Inventur von Add‑ons, Richtlinien zur Erweiterungs‑Freigabe sowie Sofortchecks für Session‑Tokens und Synchronisation. Mit praktischen Vorlagen für Admins und einer Prioritätenliste, welche Erweiterungen sofort entfernt oder eingeschränkt werden müssen, können Sie das akute Risiko in wenigen Stunden deutlich reduzieren. Jetzt Cyber‑Security‑Guide sichern
