Hacker nutzen Google-KI, um Smartphones zu übernehmen
Jena (ots)
Cyberkriminelle haben eine technologische Schwelle überschritten: Erstmals nutzt eine Android-Malware generative KI im laufenden Betrieb, um sich auf infizierten Geräten einzunisten und sie unter ihre Kontrolle zu bringen. Forscher des europäischen IT-Sicherheitsunternehmens ESET haben eine neue Android-Schadsoftware entdeckt, die Google Gemini einsetzt, um sich selbst vor dem Schließen zu schützen und dauerhaft auf dem Gerät aktiv zu bleiben.
Die Schadsoftware mit dem Namen PromptSpy tarnt sich als Banking-App "MorganArg" (eine Fälschung der Chase/JPMorgan-App) und wird über gefälschte Webseiten verbreitet. Bisher richtet sich die Kampagne primär gegen Nutzer in Argentinien, die Technik ist jedoch global nutzbar. Nach der Installation übernimmt sie das Gerät nahezu vollständig. Angreifer können den Bildschirm live mitverfolgen, Eingaben auslesen, den Sperrcode abfangen und Aktionen durchführen, als hielten sie das Smartphone selbst in der Hand.
KI analysiert den Bildschirm wie ein Mensch
Neu ist vor allem die Art, wie sich die Schadsoftware im System festsetzt. Statt mit starren Befehlen zu arbeiten, übergibt sie den aktuellen Bildschirminhalt an Googles KI-Modell Gemini. Dieses analysiert die Oberfläche und liefert Schritt für Schritt Anweisungen, welche Schaltfläche gedrückt werden muss, damit die App nicht geschlossen werden kann.
"Die Schadsoftware lässt sich von der KI erklären, was sie als Nächstes tun muss", sagt Lukas Stefanko von ESET Research. "Damit funktioniert sie auf nahezu jedem Gerät, unabhängig von Hersteller oder Android-Version. Das macht sie besonders anpassungsfähig." Nach der Entdeckung der KI-gestützten Ransomware PromptLock im August 2025 ist dies bereits der zweite Fall, in dem Angreifer generative KI so tief in den Schadcode integrieren, um technische Hürden zu überwinden.
Komplettzugriff auf das Smartphone
Ist die App einmal aktiv, installiert sie ein Fernsteuerungsmodul. Kriminelle können dann den Bildschirm sehen, Nachrichten lesen, Apps öffnen, Überweisungen auslösen oder Passwörter abgreifen. Selbst ein Entfernen wird erschwert, weil unsichtbare Elemente bestimmte Schaltflächen blockieren.
"Wir sehen hier eine neue Qualität von Android-Schadsoftware", erklärt Stefanko. "KI wird nicht nur als Schlagwort genutzt, sondern konkret eingesetzt, um Schutzmechanismen zu umgehen." Hinweise deuten darauf hin, dass die Entwickler in einem chinesischsprachigen Umfeld arbeiten. In den offiziellen App-Stores war die Anwendung nicht verfügbar.
So können sich Nutzer schützen
- Es ist nach wie vor elementar wichtig, Apps ausschließlich aus offiziellen Quellen wie Google Play zu installieren und keine Anwendungen von unbekannten Webseiten herunterzuladen. Besonders misstrauisch sollten Nutzer werden, wenn eine App zusätzliche Berechtigungen für Bedienungshilfen verlangt. Diese sogenannten "Accessibility"-Funktionen erlauben weitreichenden Zugriff auf das Gerät und werden von Schadsoftware häufig missbraucht.
- Auch regelmäßige System-Updates reduzieren das Risiko erheblich. Wer den Verdacht hat, dass sein Gerät kompromittiert wurde, sollte es im abgesicherten Modus neu starten. In diesem Zustand lassen sich schädliche Anwendungen meist entfernen, da sie nicht aktiv sind.
- Android-Geräte mit aktiviertem Google Play Protect sind gegen bekannte Versionen der Schadsoftware geschützt.
Weitere technische Details und Screenshots veröffentlicht ESET im Sicherheitsblog WeLiveSecurity.
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
christian.lueg@eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum@eset.de
Folgen Sie ESET:
https://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Original-Content von: ESET Deutschland GmbH, übermittelt durch news aktuell