KI im Schadcode
Android-Malware schützt sich mit Googles Gemini
Forscher des europäischen IT-Sicherheitsunternehmens ESET haben eine neue Android-Schadsoftware entdeckt, die Google Gemini einsetzt, um sich selbst vor dem Schließen zu schützen und dauerhaft auf dem Gerät aktiv zu bleiben. Cyberkriminelle hätten damit eine technologische Schwelle überschritten, warnte das Unternehmen in einer Mitteilung.
Die Schadsoftware mit dem Namen PromptSpy tarnt sich als Banking-App „MorganArg“ (eine Fälschung der Chase/JPMorgan-App) und wird über gefälschte Webseiten verbreitet. Bisher richtet sich die Kampagne primär gegen Nutzer in Argentinien, die Technik sei jedoch „global nutzbar“, so ESET.
Nach der Installation übernimmt die App das Gerät demnach nahezu vollständig. Angreifer könnten den Bildschirm live mitverfolgen, Eingaben auslesen, den Sperrcode abfangen und Aktionen durchführen, als hielten sie das Smartphone selbst in der Hand, hieß es.
KI analysiert den Bildschirm wie ein Mensch
Neu ist vor allem die Art, wie sich die Schadsoftware im System festsetzt. Statt mit starren Befehlen zu arbeiten, übergibt sie dem Sicherheitsanbieter nach den aktuellen Bildschirminhalt an Googles KI-Modell Gemini. Dieses analysiere die Oberfläche und liefere Schritt für Schritt Anweisungen, welche Schaltfläche gedrückt werden müsse, damit die App nicht geschlossen werden kann.
„Die Schadsoftware lässt sich von der KI erklären, was sie als Nächstes tun muss“, erläutert Lukas Stefanko von ESET Research. „Damit funktioniert sie auf nahezu jedem Gerät, unabhängig von Hersteller oder Android-Version. Das macht sie besonders anpassungsfähig.“ Nach der Entdeckung der KI-gestützten Ransomware PromptLock im August 2025 sei dies bereits der zweite Fall, in dem Angreifer generative KI tief in den Schadcode integrierten, um technische Hürden zu überwinden.
Komplettzugriff auf das Smartphone
Ist die App einmal aktiv, installiert sie ein Fernsteuerungsmodul. Kriminelle können dann den Bildschirm sehen, Nachrichten lesen, Apps öffnen, Überweisungen auslösen oder Passwörter abgreifen. Selbst ein Entfernen wird erschwert, weil unsichtbare Elemente bestimmte Schaltflächen blockieren.
„Wir sehen hier eine neue Qualität von Android-Schadsoftware“, erklärte Stefanko. „KI wird nicht nur als Schlagwort genutzt, sondern konkret eingesetzt, um Schutzmechanismen zu umgehen.“ Hinweise deuten darauf hin, dass die Entwickler in einem chinesischsprachigen Umfeld arbeiten.
Die gute Nachricht: In den offiziellen App-Stores war die Anwendung nicht verfügbar. ESET empfiehlt denn auch, Apps ausschließlich aus offiziellen Quellen wie Google Play zu installieren und keine Anwendungen von unbekannten Webseiten herunterzuladen.
Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung. Hier können Sie das Community-Team via unserer Melde- und Abhilfestelle kontaktieren.
User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB). Hier können Sie das Community-Team via unserer Melde- und Abhilfestelle kontaktieren.