Cyberkriminelle erreichen eine neue Eskalationsstufe: Erstmals wurde Android-Schadsoftware entdeckt, die generative Künstliche Intelligenz nutzt, um sich selbst zu schützen und dauerhaft auf infizierten Geräten aktiv zu bleiben. Sicherheitsforscher des europäischen IT-Security-Unternehmens ESET sprechen von einem technologischen Wendepunkt in der mobilen Bedrohungslandschaft.
Die Schadsoftware mit dem Namen PromptSpy tarnt sich als gefälschte Banking-App und wird über manipulierte Webseiten verbreitet. Nach der Installation übernimmt sie praktisch die Kontrolle über das Smartphone: Angreifer können Bildschirminhalte live verfolgen, Eingaben auslesen, Sperrcodes abfangen und Transaktionen auslösen.
KI analysiert den Bildschirm wie ein Mensch
Neu ist vor allem die eingesetzte Technik: Statt statischer Befehle nutzt die Malware Googles KI-Modul Gemini, um den aktuellen Bildschirminhalt zu analysieren und daraus Handlungsanweisungen abzuleiten.
Die Schadsoftware lässt sich von der KI erklären, was sie als Nächstes tun muss», erklärt ESET-Forscher Lukáš Štefanko. «Damit funktioniert sie auf nahezu jedem Gerät, unabhängig von Hersteller oder Android-Version.»
Dieser Ansatz macht die Malware besonders anpassungsfähig. Unsichtbare Elemente blockieren etwa Schaltflächen, um das Entfernen zu erschweren. Hinweise deuten darauf hin, dass die Entwickler aus einem chinesischsprachigen Umfeld stammen.
Neue Qualität der Android-Bedrohungen
ESET sieht darin eine qualitative Veränderung der Bedrohungslage. «KI wird nicht nur als Schlagwort genutzt, sondern konkret eingesetzt, um Schutzmechanismen zu umgehen», sagt Štefanko. Bislang richtet sich die Kampagne primär gegen Nutzer in Argentinien, die Technik ist jedoch global einsetzbar. Sicherheitsexperten warnen daher vor einer schnellen internationalen Verbreitung.
Als Schutzmassnahmen empfehlen Experten, Apps ausschliesslich aus offiziellen Quellen zu installieren, Zugriffsrechte kritisch zu prüfen und insbesondere bei Bedienungshilfen-Berechtigungen vorsichtig zu sein.
Explodierende Malware-Zahlen verstärken Bedrohungslage
Die ESET-Entdeckung fällt in eine Phase drastisch steigender Cyberrisiken. Laut aktuellem Internet Security Report von WatchGuard Technologies nahm die Zahl neuer Malware-Varianten innerhalb eines Quartals um über 1’500 Prozent zu.
Gleichzeitig konnten 23 Prozent der Schadprogramme klassische signaturbasierte Erkennungsverfahren umgehen und gelten damit faktisch als Zero-Day-Bedrohungen.
«Die heutige Bedrohungslandschaft ist klassischer Insellösungen längst entwachsen», sagt Corey Nachreiner, Chief Security Officer bei WatchGuard Technologies.
C. NachreinerSicherheitsvorfälle führten zu Vertrauensverlust und erhöhtem Supportaufwand – besonders bei Managed-Service-Providern.
Der Bericht zeigt zudem strukturelle Veränderungen:
- 96 Prozent der Malware wird verschlüsselt übertragen
- Angreifer nutzen zunehmend legitime Systemprozesse („Living-off-the-Land“)
- Daten-Erpressung ersetzt klassische Ransomware-Modelle
- Cryptomining bleibt eine stille Monetarisierungsstrategie
Die Ergebnisse unterstreichen die Grenzen traditioneller Abwehrmethoden und die zunehmende Bedeutung verhaltensbasierter und KI-gestützter Sicherheitslösungen.
KI wird auch zum wichtigsten Verteidigungswerkzeug
Während KI-Angriffe intelligenter macht, setzen Sicherheitszentren zunehmend selbst auf automatisierte Systeme. Das Zürcher Cybersecurity-Unternehmen Ontinue beschreibt den Einsatz sogenannter Multi-Agenten-Systeme, die eigenständig Sicherheitsvorfälle untersuchen. Diese KI-Agenten analysieren Alarme, entwickeln Hypothesen, führen automatisierte Untersuchungen durch und erstellen Berichte – Aufgaben, die früher ein komplettes SOC-Team beschäftigten.
«Ohne den Einsatz von KI wären Cybersecurity-Teams heute konstant überlastet», sagt Ontinue-CTO Theus Hossmann. KI-Agenten könnten viele Aufgaben automatisiert übernehmen, auch wenn menschliche Analysten weiterhin unverzichtbar bleiben. Nach Angaben des Unternehmens lassen sich inzwischen bis zu 97 Prozent der Sicherheitsvorfälle automatisiert bearbeiten.
KI verschiebt das Kräfteverhältnis im Cyberraum
Die parallele Entwicklung ist eindeutig: KI beschleunigt sowohl Angriffe als auch Verteidigungsmassnahmen. Während Malware zunehmend autonom agiert und Schutzmechanismen umgeht, setzen Sicherheitsplattformen auf automatisierte Analysen und Reaktionsmechanismen. Für Unternehmen bedeutet dies eine strategische Herausforderung. Klassische Sicherheitsarchitekturen reichen nicht mehr aus; erforderlich sind integrierte Plattformen, kontinuierliches Monitoring und KI-gestützte Bedrohungsanalysen.
Für Privatnutzer bleibt die wichtigste Erkenntnis jedoch simpel: Vorsicht bei App-Downloads, kritische Prüfung von Berechtigungen und regelmässige Updates sind weiterhin der wirksamste Schutz. Die Entdeckung KI-gestützter Malware zeigt vor allem eines: Der Cyberraum tritt in eine neue Phase ein – eine, in der Software nicht mehr nur programmiert wird, sondern selbstständig Entscheidungen trifft.
