Cybercrime – Angreifer nutzen Google-KI zum Kapern von Smartphones

KI gilt einerseits als Innovationstreiber, wird andererseits zunehmend jedoch auch als Waffe eingesetzt. Hacker haben eine Android-Malware entwickelt, die gezielt auf generative KI zurückgreift, um sich dauerhaft auf Smartphones festzusetzen. Mit diesem technologischen Schritt überschreiten die Cyberkriminellen eine neue Schwelle. Komplexe Abläufe werden automatisiert und Schutzmechanismen deutlich effizienter umgangen als bisher. Der Fall zeigt, dass KI nicht nur Fortschritt bedeutet, sondern auch erhebliche neue Risiken mit sich bringt.

Was steckt hinter der neuen Android-Malware?

Entdeckt wurde die Schadsoftware vom IT-Sicherheitsunternehmen ESET. Die Malware mit dem Namen PromptSpy tarnt sich als Banking-App und tritt unter der Bezeichnung „MorganArg“ auf. Dabei handelt es sich um eine Fälschung der App von JP Morgan Chase. Verbreitet wird sie über gefälschte Webseiten und richtet sich bislang vor allem gegen User in Argentinien. Die Sicherheitsexperten warnen jedoch, dass die Methode weltweit einsetzbar ist. Besonders brisant ist der Einsatz der Google-KI Gemini. Die Ransomware nutzt das KI-Modell, um zu verhindern, dass sie vom Nutzer geschlossen wird.

„Wir sehen hier eine neue Qualität von Android-Schadsoftware. KI wird nicht nur als Schlagwort genutzt, sondern konkret eingesetzt, um Schutzmechanismen zu umgehen“, betont Lukáš Štefanko von ESET-Research.

Damit wird deutlich, dass die Integration moderner KI-Tools Malware nicht nur intelligenter, sondern auch widerstandsfähiger macht. Hinweise deuten zudem darauf hin, dass die Entwickler in einem chinesischsprachigen Umfeld arbeiten. Die App selbst ist nicht in offiziellen App-Stores verfügbar, was die Verbreitung jedoch nicht verhindert.

Wie funktioniert der KI-gestützte Angriff?

Sobald die manipulierte Banking-App installiert ist, nistet sich die Schadsoftware tief im System des Smartphones ein. Hacker können anschließend nahezu uneingeschränkt auf das Gerät zugreifen. Sie sind in der Lage, den Bildschirm live mitzulesen. ESET informiert darüber, dass die zudem Eingaben abfangen, Sperrcodes auslesen und Aktionen eigenständig ausführen können. Der wesentliche Unterschied zu herkömmlicher Malware liegt im Einsatz der Google-KI. Die schadhafte Software übermittelt den aktuellen Bildschirminhalt an das KI-Modell, das die Oberfläche analysiert und konkrete Handlungsanweisungen liefert. So erhält die Malware detaillierte Informationen darüber, welche Schaltflächen gedrückt werden müssen, um aktiv zu bleiben.

„Die Schadsoftware lässt sich von der KI erklären, was sie als Nächstes tun muss. Damit funktioniert sie auf nahezu jedem Gerät, unabhängig vom Hersteller oder der Android-Version. Das macht sie besonders anpassungsfähig“, so Štefanko.

Diese Dynamik bedeutet eine neue Form der Automatisierung. Denn statt fest programmierter Skripte reagiert die Malware flexibel auf unterschiedliche Benutzeroberflächen. Dadurch wird sie universeller einsetzbar und schwerer zu stoppen.

Welche Folgen drohen Betroffenen?

Ist das Gerät erst einmal kompromittiert, sind die Möglichkeiten der Cyberkriminellen weitreichend. Sie können Nachrichten lesen und Apps öffnen. Es ist sogar möglich, dass sie Überweisungen auslösen und Passwörter abgreifen. Besonders problematisch ist, dass unsichtbare Elemente bestimmte Schaltflächen blockieren können. Unter anderem jene, mit denen sich die App normalerweise schließen oder deinstallieren lässt. Dadurch wird die Entfernung der Schadsoftware erheblich erschwert. PromptSpy ist eine ernst zu nehmende Bedrohung. Schon im vergangenen Jahr war mit PromptLock eine KI-gestützte Ransomware entdeckt worden. Ein Hinweis darauf, dass diese Entwicklung kein Einzelfall bleibt.