Google warnt vor russischer Spionage-Malware für Android

Google deckt zwei neue Schadprogramme auf, die gezielt die Verteidigungsindustrie und Militärpersonal ausspähen. Die Kampagnen stehen im Zusammenhang mit dem Ukraine-Krieg.

Die Bedrohungsanalysten von Google haben zwei neue Familien von Android-Malware identifiziert. Die als GALLGRAB und GREYBATTLE bezeichneten Schadprogramme werden in gezielten Spionagekampagnen eingesetzt. Ziel sind vor allem Unternehmen der Verteidigungsindustrie und Militärangehörige, insbesondere im Kontext des Ukraine-Konflikts. Die heute veröffentlichte Analyse zeigt eine sich ständig weiterentwickelte Bedrohungslage, bei der Mobilgeräte zum primären Angriffsvektor für hochkomplexe Cyberangriffe geworden sind.

Passend zum Thema gezielter Spionagekampagnen – viele dieser Attacken beginnen mit täuschend echten Phishing‑Mails, manipulierten Formularen oder gefälschten Links. Das kostenlose Anti-Phishing-Paket erklärt in vier klaren Schritten, wie Sie CEO‑Fraud, gefälschte Webseiten und Social‑Engineering-Angriffe erkennen und sofortige Gegenmaßnahmen implementieren. Enthalten sind Praxis-Checklisten, Erkennungsbeispiele und Vorlagen für Awareness-Schulungen – ideal für IT-Verantwortliche und Sicherheitsbeauftragte. In 4 Schritten zur erfolgreichen Hacker-Abwehr – Anti-Phishing-Paket herunterladen

Zwei Schadprogramme, ein Ziel: Datenklau

Die beiden neuen Malware-Familien werden von mutmaßlich russischen Spionagegruppen eingesetzt. Beide sind darauf ausgelegt, sensible Informationen von Android-Geräten zu stehlen, nutzen aber unterschiedliche Methoden.

GREYBATTLE wird der als UNC5125 bekannten Gruppe zugeschrieben. Es handelt sich um eine angepasste Variante des bekannten Banking-Trojaners Hydra. Die Malware stiehlt Zugangsdaten und andere sensible Daten. Google beobachtete, wie GREYBATTLE über eine gefälschte Website verbreitet wurde, die eine ukrainische Militär-KI-Firma imitierte. Die Gruppe UNC5125 führte hochfokussierte Kampagnen gegen Front-Drohneneinheiten durch. Sogar Google-Formulare nutzten sie für die vorherige Erkundung potenzieller Ziele.

GALLGRAB wird mit der Gruppe UNC6096 in Verbindung gebracht. Diese Malware ist eine modifizierte Version eines öffentlich verfügbaren Tools namens „Android Gallery Stealer“. Ihr Hauptzweck ist das Sammeln und Abgreifen einer breiten Palette von Daten. Dazu gehören lokal gespeicherte Dateien, Kontaktlisten und möglicherweise sogar verschlüsselte Nutzerdaten aus speziellen Gefechtsfeld-Management-Apps. GALLGRAB wurde über WhatsApp verbreitet. Als Köder dienten Themen rund um die Delta-Gefechtsfeldmanagement-Plattform.

Fokus auf Hochtechnologie der Verteidigungsindustrie

Der Einsatz von GALLGRAB und GREYBATTLE ist Teil einer breiteren, anhaltenden Offensive staatlicher Akteure gegen die Verteidigungsindustrie. Laut Google-Bericht konzentrieren sich die Angreifer besonders auf Organisationen, die Hochtechnologie entwickeln. Ein besonderer Fokus liegt auf Unternehmen für unbemannte Flugsysteme (Drohnen).

Die Taktiken gehen über Android-Malware hinaus. Die Bedrohungsakteure zielen auch auf Windows-Geräte ab und nutzen ausgeklügelte Phishing-Kampagnen. Damit erbeuten sie Zugangsdaten von Mitarbeitern großer Luftfahrt- und Rüstungskonzerne. Diese Operationen zeichnen sich durch sorgfältig gestaltete Köder aus, die auf die berufliche Rolle und persönlichen Interessen der Zielpersonen zugeschnitten sind. Oft werden sie an private E-Mail-Adressen gesendet, um die Unternehmenssicherheit zu umgehen.

Das grundlegende Problem: Veraltete Android-Systeme

Das Auftauchen dieser gezielten Bedrohungen fällt in eine Zeit großer Besorgnis über die Sicherheit des Android-Ökosystems. Berichte von Anfang 2026 zeigen, dass ein erheblicher Teil aller Android-Geräte weltweit anfällig für Cyberangriffe sein könnte. Der Grund: Viele Geräte laufen mit veralteten Android-Versionen, die keine kritischen Sicherheitsupdates mehr erhalten.

Während GALLGRAB und GREYBATTLE eine hochspezifische Bedrohung darstellen, schafft die grundlegende Verwundbarkeit vieler Geräte einen fruchtbaren Boden für alle Arten von Malware. Sicherheitsexperten sehen die langsame Verbreitung neuer Android-Versionen als anhaltendes Problem. Millionen Nutzer sind schutzlos.

Google betont, dass der integrierte Malware-Schutz Google Play Protect vor bekannten Bedrohungen wie den jetzt identifizierten schützt. Nutzer mit aktiviertem Play Protect seien vor den bekannten Versionen von GALLGRAB und GREYBATTLE geschützt.

Was Nutzer tun können

Die Erkenntnisse aus dem Google-Bericht sind eine klare Warnung für Organisationen und Einzelpersonen im Verteidigungssektor. Die Nutzung angepasster und öffentlich verfügbarer Malware-Tools zeigt: Die Angreifer werden ihre Methoden ständig an den Weg des geringsten Widerstands anpassen.

Die beste Verteidigung für Android-Nutzer bleibt ein mehrschichtiger Sicherheitsansatz. Dazu gehört:
* Vorsicht bei unerwünschten Nachrichten und Links, besonders in Messengern und E-Mails.
* Die Authentizität von Websites und Apps vor dem Download zu prüfen.
* Das Gerät auf der neuesten möglichen Android-Version zu betreiben.
* Sicherzustellen, dass Sicherheitsfunktionen wie Google Play Protect aktiviert sind.

Die digitalen Frontlinien moderner Konflikte weiten sich ständig aus. Die Sicherheit persönlicher Mobilgeräte bleibt ein Schlachtfeld für Spionage. Die Identifizierung von GALLGRAB und GREYBATTLE ist eine deutliche Erinnerung an die Raffinesse und Beharrlichkeit dieser Cyber-Operationen.

Übrigens: Wenn Mobilgeräte als Angriffsvektor genutzt werden – etwa über WhatsApp-Köder oder manipulierte Apps – hilft ein abgestimmter Schutzplan. Das Anti-Phishing-Paket liefert praxisnahe Handlungsempfehlungen zur Absicherung von Android- und Windows-Geräten, Vorlagen für Awareness‑Trainings sowie Notfallprozesse, damit IT-Teams schneller reagieren können. Holen Sie sich den kostenlosen Leitfaden und stärken Sie Ihre Abwehr gegen gezielte Spionageangriffe. Jetzt Anti-Phishing-Paket gratis anfordern