PromptSpy: Android-Malware nutzt erstmals KI zur Tarnung

Ein neuartiger Android-Schädling setzt auf künstliche Intelligenz, um sich auf infizierten Geräten zu verstecken. Die als PromptSpy identifizierte Malware markiert eine gefährliche Evolution mobiler Bedrohungen und taucht inmitten einer Welle weiterer Angriffe auf.

Die Malware, die von Forschern des Sicherheitsunternehmens ESET analysiert wurde, ist der erste bekannte Fall, in dem ein Android-Schädling ein generatives KI-Modell – hier Google Gemini – in seine Ausführung integriert. Es handelt sich um eine hochgefährliche Weiterentwicklung der bereits bekannten Malware VNCSpy. PromptSpy gewährt Angreifern die vollständige Fernsteuerung des Opfergeräts. Sie kann Bildschirmsperren-Daten abfangen, Deinstallationsversuche blockieren, Bildschirmaktivitäten aufzeichnen und Screenshots anfertigen. Der Einsatz von KI in mobiler Schadsoftware eröffnet Cyberkriminellen eine neue Angriffsfläche für anpassungsfähigere und widerstandsfähigere Attacken.

Angesichts immer raffinierterer KI-Malware übersehen viele Android-Nutzer grundlegende Sicherheitsmaßnahmen, die ihre sensiblen Daten vor Zugriffen schützen können. Dieser Gratis-Ratgeber zeigt Ihnen, wie Sie WhatsApp, Banking und Online-Shopping effektiv vor Datendieben absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

So nutzt die Malware KI für ihren Fortbestand

Die innovativste und alarmierendste Funktion von PromptSpy ist der Einsatz generativer KI, um auf dem Gerät zu verbleiben. Die Malware erfasst das Layout des Bildschirms und sendet es mit einer spezifischen Aufforderung an das Gemini-KI-Modell. Die KI analysiert den Bildschirm und liefert der Malware präzise JSON-Anweisungen, wie sie sich in der Übersicht der zuletzt verwendeten Apps „anheften“ oder „sperren“ kann. Diese Aktion, oft durch ein Vorhängeschloss-Symbol gekennzeichnet, verhindert, dass die schädliche App einfach geschlossen oder durch die Speicherverwaltung beendet wird.

Dieser KI-gesteuerte Ansatz ermöglicht es der Malware, sich an eine Vielzahl von Android-Geräten, Bildschirmlayouts und Betriebssystemversionen anzupassen. Die Kernfunktion von PromptSpy ist die Installation eines Virtual Network Computing (VNC)-Moduls. Dies gibt Angreifern die Möglichkeit, den Bildschirm in Echtzeit zu sehen und Aktionen aus der Ferne durchzuführen.

Verbreitung und ein breiteres Bedrohungsumfeld

PromptSpy wird über eine spezielle Website verbreitet und wurde nicht im Google Play Store entdeckt. Sie tarnt sich als legitime Finanz-App, konkret als „MorganArg“, die JPMorgan Chase in Argentinien imitiert. Opfer werden dazu gebracht, die Installation von Apps aus unbekannten Quellen zu erlauben. Obwohl die Kampagne gezielt erscheint, deuten Debug-Strings in vereinfachtem Chinesisch im Code auf die Entwicklungsursprünge hin. Ein Google-Sprecher wies darauf hin, dass Android-Nutzer durch den standardmäßig aktivierten Google Play Protect vor bekannten Versionen dieser Malware geschützt sind.

Die Entdeckung von PromptSpy fällt mit anderen schwerwiegenden Android-Bedrohungen dieser Woche zusammen. Forscher von ThreatFabric identifizierten einen neuen Banking-Trojaner namens „Massiv“, der über gefälschte IPTV-Apps verbreitet wird. Dieser Schädling ist für Device-Takeover-Angriffe (DTO) konzipiert. Parallel dazu detaillierten Kaspersky-Forscher eine als „Keenadu“ bekannte Backdoor, die in der Firmware mehrerer Android-Tablet-Marken eingebettet war – ein Hinweis auf einen Supply-Chain-Angriff. Diese Malware, die auch in einigen Apps im Play Store gefunden wurde, gewährt Angreifern umfangreiche Kontrolle.

Um Ihr Android-Gerät gegen solche komplexen Bedrohungen zu wappnen, sind teure Zusatz-Apps oft gar nicht nötig. In diesem kostenlosen Sicherheitspaket erhalten Sie einfache Schritt-für-Schritt-Anleitungen, um Sicherheitslücken effektiv zu schließen. Kostenlosen Sicherheits-Ratgeber herunterladen

Die Folgen KI-gestützter Malware

Die Integration von KI in Malware wie PromptSpy markiert einen Wendepunkt in der Cybersicherheit. Die Technik macht Schadsoftware dynamischer und unabhängiger von traditionellen, fest einprogrammierten Anweisungen. Indem die Navigation der Benutzeroberfläche an eine KI ausgelagert wird, können Bedrohungsakteure universellere und effektivere Malware entwickeln, die für Sicherheitstools schwerer durch statische Analyse zu erkennen ist.

Die Ausnutzung der Barrierefreiheits-Dienste (Accessibility Services) ist ein gemeinsames Merkmal vieler fortschtittlicher Android-Trojaner. Diese Dienste, die eigentlich Nutzern mit Behinderungen helfen sollen, gewähren weitreichende Berechtigungen. Malware kann sie missbrauchen, um den Bildschirm einzusehen, Eingaben abzufangen und Aktionen ohne Wissen des Nutzers durchzuführen. Die Kombination aus KI-getriebener Anpassungsfähigkeit und dem Missbrauch mächtiger Systemberechtigungen stellt eine enorme Bedrohung für Verbraucher und Unternehmen dar.

Schutzmaßnahmen für Nutzer

Die wichtigste Verteidigungslinie ist, Apps nur aus dem offiziellen Google Play Store zu installieren und das sogenannte Sideloading (Installation aus anderen Quellen) zu vermeiden. Nutzer sollten die von Apps angeforderten Berechtigungen kritisch prüfen, insbesondere den Zugriff auf Barrierefreiheits-Dienste. Es ist zwingend notwendig, Geräte mit den neuesten Sicherheitsupdates aktuell zu halten, da diese oft Schwachstellen schließen. Eine seriöse Mobile-Security-App kann eine zusätzliche Schutzschicht bieten.

de | boerse | 68609897 |