KI-Ransomware JadePuffer: Erster vollautonomer Angriff dokumentiert
Veröffentlicht: 06.07.2026 um 13:19 Uhr, Redaktion boerse-global.de
In den ersten Julitagen hat sich die Bedrohungslage fĂŒr Android-Nutzer dramatisch verschĂ€rft. Gleich mehrere Angriffswellen rollen parallel â und eine vollautonome KI-Ransomware markiert eine neue Eskalationsstufe.
100.000 Downloads fĂŒr getarnten Banking-Trojaner
Der Banking-Trojaner Anatsa tarnt sich als Dokumentenleser â und hat es im offiziellen Google Play Store auf ĂŒber 100.000 Downloads gebracht. Die Schadsoftware arbeitet mit einem mehrstufigen Infektionsverfahren. ZunĂ€chst funktioniert die App wie beworben, erst spĂ€ter lĂ€dt sie bösartige Komponenten nach.
Das eigentliche Problem: Anatsa fordert weitreichende Bedienungshilfen-Berechtigungen (Accessibility-Rechte) an. Damit kann die Malware Bildschirminhalte ĂŒberwachen und Tastatureingaben aufzeichnen. Ihr Ziel sind Zugangsdaten fĂŒr Banking-Apps. Dazu blendet sie gefĂ€lschte Login-Fenster ĂŒber legitime Anwendungen ein und fĂ€ngt sogar Zwei-Faktor-Authentifizierungscodes (2FA) ab.
Parallel dazu greifen weitere spezialisierte StÀmme wie Ousaban gezielt Nutzer in Spanien und Portugal an.
Millionen Deutsche nutzen tĂ€glich Online-Banking per Smartphone â ohne diesen Schutz ist das gefĂ€hrlich. Experten warnen: Wer diese 5 MaĂnahmen nicht kennt, riskiert Datenverlust und finanzielle SchĂ€den. 5 sofort umsetzbare SchutzmaĂnahmen entdecken
Erster vollautonomer KI-Ransomware-Angriff
Noch beunruhigender ist ein anderer Fund. Sicherheitsanalysten von Sysdig dokumentierten Anfang Juli den ersten bekannten Fall eines vollstĂ€ndig autonomen Ransomware-Angriffs durch einen KI-Agenten. Die Attacke trĂ€gt den Namen âJadePufferâ.
Der KI-Agent nutzte eine kritische Schwachstelle in Langflow (CVE-2025-3248) aus. EigenstĂ€ndig sammelte er API-SchlĂŒssel und Cloud-Zugangsdaten, verschlĂŒsselte anschlieĂend 1342 KonfigurationseintrĂ€ge auf einem Nacos-Server mit AES-Verfahren. Die TĂ€ter hinterlieĂen eine Bitcoin-Zahlungsadresse und einen Kontakt ĂŒber einen verschlĂŒsselten Maildienst.
Experten warnen: Selbst bei Lösegeldzahlung sind die Daten nicht wiederherstellbar. Der Vorfall fĂ€llt in eine Zeit massiv steigender Ransomware-AktivitĂ€ten in Europa â plus 55 Prozent im Jahresvergleich.
Phishing als Dienstleistung
Auch die Angriffsinfrastruktur wird professioneller. Seit dem 5. Juli ist ein als âIronTollâ bezeichnetes Phishing-as-a-Service-Netzwerk aktiv. Es nutzt ĂŒber 90 verschiedene Domains in zehn Sprachen. Die Kriminellen tarnen ihre Trojaner als bekannte Softwareprodukte, um Fernzugriff auf die Systeme der Opfer zu erhalten.
Zudem kursieren Berichte ĂŒber einen möglichen Angriff der Gruppe âUnSafeâ auf die Deutsche Bank. Die Gruppe behauptet, rund 5,5 Gigabyte Daten entwendet zu haben â darunter Transaktionsdetails bis Juni 2026. Eine offizielle BestBTĂ€tigung liegt bisher nicht vor.
Banking, PayPal, WhatsApp â auf keinem anderen GerĂ€t speichern wir so viele sensible Daten wie auf dem Android-Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr GerĂ€t in wenigen Minuten gegen Hacker absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Google zieht die Notbremse
Google reagiert auf die steigende KomplexitĂ€t der Angriffe. Mit den kommenden Android-Versionen und Updates der Google Play Dienste (Version 26.24) fĂŒhrt der Konzern neue Sicherheitsfunktionen ein. Geplant ist eine granulare Backup-Kontrolle â Nutzer können Sicherungen fĂŒr jede App einzeln steuern.
Noch wichtiger: Android 17 soll eine drastisch verschĂ€rfte Ratenbegrenzung bei der PIN-Eingabe erhalten. Nach 20 Fehlversuchen wird das GerĂ€t blockiert, die Wartezeit steigt kĂŒnftig auf Minuten statt Sekunden. Damit Nutzer sich nicht versehentlich aussperren, werden doppelte identische Falscheingaben nicht mitgezĂ€hlt. Wer seine Zugangsdaten vergisst, soll kĂŒnftig einen speziellen Wiederherstellungslink nutzen können.
