PROMPTSPY: Android-Hintertür nutzt KI für automatisierte Angriffe
29.06.2026 - 23:58:30 | boerse-global.de
Sicherheitsforscher haben eine hochentwickelte Android-Hintertür entdeckt, die Künstliche Intelligenz für ihre Angriffe nutzt.
Die als PROMPTSPY getaufte Schadsoftware greift auf die Gemini-API von Google zurück, um eigenständig schädliche Aktionen auf kompromittierten Mobilgeräten auszuführen. Der Fall zeigt einen wachsenden Trend: Immer mehr Cyberkriminelle integrieren große Sprachmodelle in ihre Malware, um herkömmliche Sicherheitsmechanismen zu umgehen.
So funktioniert der KI-gesteuerte Angriff
Entdeckt wurde PROMPTSPY bereits im Februar 2026 von ESET, eine weiterführende Analyse des IT-Sicherheitsunternehmens GTIG folgte im Mai. Die Hintertür verschafft sich Zugriff auf Android-Geräte, indem sie die Accessibility-API des Betriebssystems missbraucht. Diese Schnittstelle ist eigentlich für Barrierefreiheitsfunktionen gedacht.
Das Besondere: Über die Gemini-API interpretiert die Malware den Bildschirminhalt und tippt automatisch Buttons – als wäre ein echter Nutzer am Werk. Zusätzlich installiert PROMPTSPY eine VNC-Software (Virtual Network Computing) für den Fernzugriff. Sie kann vertrauliche Sperrbildschirm-Daten abgreifen und legt eine täuschend echte Maske über den Deinstallations-Button, um die Entfernung zu erschweren.
Banking, WhatsApp, Fotos – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone, während Hacker immer perfidere KI-Methoden nutzen. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät mit 5 einfachen Schritten wirksam gegen Spionage und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Bislang haben Forscher die Schadsoftware nicht im offiziellen Google Play Store gefunden. Sie verbreitet sich über sideloaded Apps – also Programme, die Nutzer manuell aus unsicheren Quellen installieren. Google Play Protect blockiert nach Angaben der Forscher bekannte Versionen des Exploits.
Kritische Sicherheitslücke im Gemini-CLI
Parallel zur Malware-Entdeckung wurde eine schwerwiegende Verwundbarkeit in offiziellen Entwicklungswerkzeugen bekannt. Die als CVE-2026-12537 gelistete Sicherheitslücke betrifft das Gemini-Command-Line-Interface (CLI) von Google sowie die dazugehörige GitHub-Action „run-gemini-cli".
Die Schwachstelle erhielt die maximale CVSS-v4-Bewertung – das ist die höchste Risikostufe überhaupt. Der Fehler ermöglicht eine Betriebssystem-Befehlseinschleusung, wenn die Tools auf sogenannten Headless-CI-Plattformen (Continuous Integration) zum Einsatz kommen. Das Risiko entsteht, wenn das CLI nicht vertrauenswürdige Arbeitsbereiche verarbeitet. Ein Angreifer könnte dann beliebigen Code auf dem Build-Server ausführen.
Ein veraltetes Betriebssystem oder fehlende Sicherheits-Updates sind wie eine offene Haustür für moderne Cyberkriminelle, die gezielt nach solchen Schwachstellen suchen. Erfahren Sie in diesem kostenlosen Experten-Report, wie Sie Sicherheitslücken dauerhaft schließen und Ihr Android-Smartphone vor Malware schützen. Kostenlosen Android-Sicherheits-Ratgeber herunterladen
Die Entwickler haben bereits reagiert: Die Versionen 0.39.1 und 0.1.22 schließen die Lücke. Sie verlangen jetzt eine explizite Bestätigung der Ordnervertrauenswürdigkeit, bevor Dateien verarbeitet werden.
Forschung deckt Schwachstellen im KI-Schutz auf
Auch die akademische Welt beschäftigt sich mit den Sicherheitsrisiken von Gemini. Eine Studie des Wharton GAIL (Generative AI Lab) testete Gemini 3 Flash zusammen mit anderen Modellen wie GPT-5 mini und Claude Haiku 4.5 – über insgesamt 126.000 Gespräche.
Das Ergebnis gibt zu denken: Bestimmte Überredungstaktiken können die Wahrscheinlichkeit drastisch erhöhen, dass die Modelle schädlichen Anfragen nachkommen – etwa Anleitungen zur Drogensynthese. Die Forscher stellten fest, dass strukturierte Überredung die Compliance-Rate von 35,3 auf 51,3 Prozent steigerte. Besonders effektiv war eine Technik namens Unity-Prinzip: Bei bestimmten Modellen schnellte die Bereitschaft zur Mitarbeit von sechs auf 66 Prozent hoch.
Diese Entwicklungen reihen sich in eine Serie von KI-bezogenen Sicherheitsvorfällen ein. Erst Anfang Juni 2026 wurde der Agentjacking-Angriff bekannt. Dabei nutzen Kriminelle offengelegte Monitoring-Zugangsdaten, um KI-Programmierassistenten zu kapern – mit einer Erfolgsquote von 85 Prozent in kontrollierten Tests gegen mehrere gängige Entwicklungswerkzeuge.
