Eine neue Spionagesoftware namens ZeroDayRAT versetzt die Sicherheitsbranche in Alarmbereitschaft. Das hochkomplexe Toolkit wird frei auf Telegram gehandelt und bietet Funktionen, die bisher staatlichen Geheimdiensten vorbehalten waren. Die Entdeckung fällt mit einer dramatischen Warnung von Google zusammen: Milliarden veralteter Android-Geräte sind schutzlos.
Hochleistungsspionage aus der Telegram-Box
Das Sicherheitsunternehmen iVerify analysierte die Malware-Kampagne zwischen dem 10. und 12. Februar 2026. ZeroDayRAT ist ein kommerzielles Spyware-Toolkit, das Angreifern die vollständige Fernkontrolle über infizierte Android-Smartphones gibt.
Die Software wird seit Anfang Februar über Telegram-Kanäle vertrieben. „Dieses Toolkit bündelt Fähigkeiten, für deren Entwicklung früher staatliche Ressourcen nötig waren“, erklärt Daniel Kelley, Forschungsstipendiat bei iVerify. Diese Macht ist nun für Cyberkriminelle gegen Lizenzgebühr verfügbar.
Die Infektion läuft typischerweise über SMS-Phishing oder manipulierte Apps aus Drittanbieter-Stores. Einmal installiert, gewährt ZeroDayRAT Zugriff auf Kamera und Mikrofon für Live-Übertragungen, zeichnet Tastatureingaben auf und liest Bankdaten sowie Krypto-Wallets aus.
Unsichtbare Gefahr mit vollem Zugriff
Die Raffinesse der Malware liegt in ihrer Unauffälligkeit. Sie operiert im Hintergrund und sendet Daten an ein dezentrales Netzwerk, was die Abschaltung für Behörden extrem erschwert.
Angreifer steuern die Spionage über ein webbasiertes Dashboard. Es erstellt ein umfassendes Profil des Opfers:
* Genaue Standortdaten
* Kommunikationsprotokolle
* Eine Zeitleiste der App-Nutzung
Besonders kritisch: Die Software protokolliert biometrische Entsperrungen und Gesten. Spezielle Module stehlen Finanzdaten. Ein „Crypto-Stealer“ manipuliert Zieladressen bei Transaktionen, ein „Bank-Stealer“ fischt Online-Banking-Daten ab.
Googles Warnung: 40 Prozent der Geräte sind wehrlos
Die ZeroDayRAT-Bedrohung trifft auf ein fragiles Ökosystem. Google veröffentlichte kürzlich eine ernüchternde Statistik.
Mehr als 40 Prozent aller aktiven Android-Geräte laufen auf Android 12 oder älter. Diese Smartphones erhalten keine Sicherheitsupdates mehr und sind gegen neue Bedrohungen wehrlos. Über eine Milliarde Nutzer sind von diesem „Sicherheits-Vakuum“ betroffen.
Das aktuelle Android 16 bietet robuste Schutzarchitekturen. Doch seine Verbreitung liegt erst bei etwa 7,5 Prozent. Diese Fragmentierung spielt Angreifern in die Hände – sie nutzen bekannte Schwachstellen in alten, ungepatchten Systemen.
So schützen Sie sich vor der Android-Spionage
Angesichts der akuten Bedrohung raten Experten zu sofortigen Maßnahmen.
Wenn ZeroDayRAT per SMS‑Phishing oder manipulierten Apps Zugriff aufs Smartphone erlangt, hilft nur ein klarer Schutzplan. Der kostenlose E‑Book-Report „Cyber Security Awareness Trends“ erklärt praxisnah, welche einfachen Maßnahmen Nutzer und Unternehmen sofort umsetzen sollten – von Phishing-Abwehr über sichere Geräte‑Konfiguration bis zu Notfall-Protokollen. Erfahren Sie, welche Schritte wirklich wirken und wie Sie Ihr Android-Gerät schnell härten. Jetzt kostenloses Cyber-Security-E‑Book herunterladen
Google Play Protect nicht deaktivieren
Ein häufiger Fehler ist das Abschalten von Google Play Protect, um Apps aus unsicheren Quellen zu installieren. Der Dienst scannt täglich Milliarden Apps und ist für den Durchschnittsnutzer die wichtigste Verteidigungslinie.
Vorsicht beim „Sideloading“
ZeroDayRAT wird primär über direkte Downloads (APKs) verbreitet. Ignorieren Sie Links in SMS oder Telegram-Nachrichten, die zu App-Downloads auffordern.
Notfall-Maßnahmen bei Verdacht
Bei rapide sinkendem Akku, unbekannten Transaktionen oder Überhitzung:
* Verbindung trennen: Flugmodus sofort aktivieren.
* Abgesicherter Modus: Gerät im „Safe Mode“ neu starten.
* Administratoren prüfen: In den Einstellungen unbekannte Apps mit Administratorrechten entziehen.
* Factory Reset: Das Zurücksetzen auf Werkseinstellungen ist oft die einzige sichere Entfernungsmethode. Wichtig: Kein Backup wiederherstellen, das nach dem Infektionszeitpunkt erstellt wurde.
Spyware wird zum Abo-Modell
Die Veröffentlichung von ZeroDayRAT markiert einen besorgniserregenden Trend für 2026. Das Modell „Spyware-as-a-Service“ wächst weiter. Die Hürde für Kriminelle sinkt, da sie Exploits nicht mehr entwickeln, sondern einfach mieten müssen.
Für Google und die Hersteller erhöht sich der Druck, die Update-Politik zu verbessern. Bis dahin bleibt das Bewusstsein des Nutzers die stärkste Firewall.
