PromptSpy: Erste mobile Spyware nutzt Google Gemini zur Laufzeit

Sicherheitsforscher identifizieren mehrere neue Schadsoftware-Stämme, die gezielt mobile Banking-Anwendungen mit KI-Unterstützung angreifen.

Die Bedrohungslage für mobiles Banking verschärft sich dramatisch.

RedWing: Banking-Betrug als Abonnement-Dienst

Die Android-Malware „RedWing“ wird als Malware-as-a-Service über Telegram vermarktet. Kriminelle zahlen rund 280 Euro monatlich für den Zugang. Das Paket enthält Tutorial-Videos und einen Bot, der maßgeschneiderte Installationsdateien erstellt.

RedWing zielt auf Kunden von 82 Finanzinstituten ab, mit Schwerpunkt auf dem russischen Markt. Die Malware blendet Phishing-Oberflächen über legitimen Apps ein, fängt SMS-Passwörter ab und leitet Anrufe um. Sie ermöglicht Fernzugriff via VNC, protokolliert Tastatureingaben und greift auf Kamera und Mikrofon zu. Die Infektion erfolgt meist über manipulierte Apps aus inoffiziellen Quellen.

Erster Einsatz von KI zur Laufzeit

Einen technologischen Sprung zeigt „PromptSpy“. ESET-Forscher identifizierten diese Android-Spyware als erste mobile Schadsoftware, die Googles KI-Plattform Gemini während der Programmausführung nutzt. Die Malware analysiert Bildschirminhalte dynamisch und passt ihr Verhalten an.

PromptSpy erfasst PINs, Passwörter und Screenshots und fertigt Videoaufnahmen an. Die Verbreitung lief über gefälschte Websites argentinischer Banken. Eine Infektion wurde bereits im Februar 2026 in der Ukraine dokumentiert.

Parallel dazu berichten Elastic Security Labs über „SCMBANKER“. Diese in Mexiko aktive Malware nutzt den „ClickFix“-Trick: Ein gefälschtes CAPTCHA verleitet Nutzer zur Ausführung eines PowerShell-Befehls. Die Malware überwacht Banking-Sitzungen und manipuliert die Zwischenablage, um Transaktionen umzuleiten.

Autonome Angriffe und Warnungen der Aufsicht

Die Eskalation zeigt sich im ersten vollständig autonomen KI-Ransomware-Angriff. Die Gruppe „JadePuffer“ nutzte KI-Agenten für Ausspähung, Diebstahl von Zugangsdaten und Verschlüsselung – ohne menschliches Eingreifen. Dabei generierten die Angreifer über 600 Malware-Varianten.

Anzeige

Angesichts der zunehmenden Professionalisierung von Cyberkriminellen riskieren Millionen Deutsche beim täglichen Online-Banking per Smartphone ohne zusätzlichen Schutz herbe finanzielle Schäden. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Android-Gerät sofort gegen Hacker und Viren absichern können. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Branchenstatistiken für das zweite Quartal 2026 zeigen einen Anstieg der Ransomware-Opfer um 43 Prozent auf 2.279 Fälle weltweit.

Die Europäische Zentralbank warnte Banken vor wachsenden Cyberrisiken durch KI und Quantencomputing. Sie drängt auf proaktive Maßnahmen, da Quantencomputer künftig herkömmliche Verschlüsselung gefährden könnten. Experten empfehlen den Übergang zu post-quanten-kryptografischen Verfahren.

Rechtliche Folgen und Verbraucherschutz

Das Oberlandesgericht Brandenburg entschied Ende Mai: Banken trifft eine erhöhte Warnpflicht, wenn ihnen konkrete Betrugsmuster bekannt sind. Im verhandelten Fall verlor ein Kunde durch eine gefälschte „Demo-Überweisung“ über 20.000 Euro. Das Gericht erhöhte die Mitverantwortung der Bank, da ein Mitarbeiter den Kunden trotz Telefonats nicht ausdrücklich gewarnt hatte.

Anzeige

Herkömmliche Passwörter bieten kaum noch Schutz gegen moderne KI-gesteuerte Angriffe, was allein in Deutschland zu Millionen gehackter Konten pro Quartal führt. Erfahren Sie in diesem Experten-Report, wie Sie die neue Passkey-Technologie nutzen, um sich bei Diensten wie Amazon oder WhatsApp sicher und passwortlos anzumelden. Kostenlosen Passkey-Ratgeber jetzt herunterladen

Verbraucherschützer warnen vor neuen Phishing-Wellen. Aktuell kursieren gefälschte E-Mails im Namen der Volksbanken Raiffeisenbanken, die eine angebliche Deaktivierung des Sicherheitssystems zum 17. Juli androhen. Nutzer sollen einen Link folgen, der Schadsoftware installiert.

Auch bei WhatsApp steigen die Risiken: Mit der Einführung von Benutzernamen wächst die Gefahr von Identitätsdiebstahl durch Reservierung prominenter Namen durch Unbefugte. Im Juni 2026 wurden bereits über 620.000 Spam-Anrufe über die Plattform gemeldet.