KI-gesteuerte Android-Malware: Hacker nutzen Gemini für vollständige Gerätekontrolle
Android-Malware nutzt KI-Modell Gemini für Angriffe

KI-gesteuerte Android-Malware übernimmt Smartphones

Cyberkriminelle setzen bei Angriffen auf Android-Geräte zunehmend auf fortschrittliche Künstliche Intelligenz. Sicherheitsforscher des europäischen Unternehmens ESET haben eine neuartige Schadsoftware namens PromptSpy identifiziert, die das Google-KI-Modell Gemini nutzt, um sich dauerhaft auf Smartphones festzusetzen und die vollständige Kontrolle zu übernehmen.

Getarnte Banking-App mit verheerenden Folgen

Die Malware tarnt sich als seriöse Banking-Anwendung mit dem Namen MorganArg. Nach der Installation fordert sie umfangreiche Zugriffsrechte an, die ihr anschließend nahezu uneingeschränkte Kontrolle über das betroffene Gerät ermöglichen. Laut den ESET-Experten können Angreifer damit:

  • Den Bildschirm in Echtzeit überwachen
  • Private Nachrichten mitlesen
  • Überweisungen auslösen
  • Passwörter und sensible Daten abgreifen

Besonders tückisch: Unsichtbare Oberflächenelemente blockieren wichtige System-Schaltflächen, sodass Nutzer die schädliche Anwendung nicht einfach beenden können. Die Angreifer haben damit praktisch die gleiche Kontrolle über das Smartphone, als hielten sie es physisch in ihren Händen, erklären die Sicherheitsforscher.

Breites Pickt-Banner — kollaborative Einkaufslisten-App für Telegram

Gemini-KI als zentrale Steuerungskomponente

Das wirklich Neuartige an PromptSpy ist der Einsatz des Google-KI-Modells Gemini. Die Schadsoftware überträgt kontinuierlich Screenshots des aktuellen Bildschirminhalts an die KI, die diese visuellen Informationen wie ein menschlicher Nutzer analysiert. Basierend auf dieser Auswertung gibt Gemini der Malware präzise Anweisungen, welche Aktionen notwendig sind, um ihre Präsenz auf dem Gerät aufrechtzuerhalten und ihre schädlichen Funktionen auszuführen.

Dieser KI-gestützte Ansatz macht die Malware besonders gefährlich und anpassungsfähig. PromptSpy funktioniert zuverlässig auf nahezu allen Android-Geräten und ist unabhängig von der installierten Betriebssystemversion, da die künstliche Intelligenz nicht auf fest programmierte Befehlssequenzen angewiesen ist, sondern situationsabhängig reagieren kann.

Herkunft und Schutzmaßnahmen

Die forensische Analyse der Malware deutet darauf hin, dass die Entwickler aus einem chinesischsprachigen Umfeld stammen. Interessanterweise wurde die gefälschte Banking-App nicht in offiziellen App-Stores wie Google Play entdeckt, sondern verbreitet sich über alternative Download-Quellen.

Für Android-Nutzer empfehlen Sicherheitsexperten folgende Schutzmaßnahmen:

  1. Apps ausschließlich aus vertrauenswürdigen Quellen wie dem offiziellen Google Play Store herunterladen
  2. Besonders vorsichtig sein, wenn Anwendungen Zugriff auf sogenannte Bedienungshilfen oder Accessibility-Dienste fordern
  3. Regelmäßige System-Updates installieren, um bekannte Sicherheitslücken zu schließen
  4. Google Play Protect aktiviert lassen, das bekannte Varianten dieser Schadsoftware erkennen kann

Falls ein Befall vermutet wird, kann das Smartphone im abgesicherten Modus gestartet werden, wo sich problematische Apps in der Regel entfernen lassen. Die Entdeckung von PromptSpy unterstreicht die wachsende Bedrohung durch KI-gestützte Cyberangriffe und die Notwendigkeit erhöhter Wachsamkeit bei der App-Nutzung auf mobilen Geräten.

Pickt After-Article-Banner — kollaborative Einkaufslisten-App mit Familien-Illustration