Keenadu-Malware: Neue Android-Welle erreicht Hunderttausende Nutzer

Sicherheitsforscher haben mehrere groß angelegte Malware-Kampagnen im Android-Ökosystem aufgedeckt, die Nutzer weltweit bedrohen. Besonders im Fokus: die Schadsoftware Keenadu, die über den offiziellen Google Play Store verbreitet wurde und Hunderttausende Installationen erreichte. Die Angreifer nutzen zunehmend KI-gestützte Methoden – eine Entwicklung, die auch deutsche Unternehmen und Verbraucher betrifft.

Banking, PayPal und sensible Daten – auf keinem anderen Gerät speichern wir so viele wertvolle Informationen wie auf unserem Android-Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Handy effektiv vor Hackern und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Infizierte Apps auf Google Play entdeckt

Die russischen Sicherheitsexperten von Kaspersky haben die vielseitige Android-Malware Keenadu identifiziert. Sie verbreitet sich auf mehreren Wegen: als vorinstallierte Firmware auf neuen Geräten, eingebettet in Systemanwendungen und über den offiziellen Google Play Store. Bereits im Februar 2026 waren über 13.000 Geräte infiziert – mit Schwerpunkten in Russland, Japan, Deutschland, Brasilien und den Niederlanden.

Besonders perfide: Auf Google Play getarnte Apps, die sich als Smart-Home-Kamera-Utilities ausgaben, wurden mehr als 300.000 Mal heruntergeladen, bevor sie entfernt wurden. Die Keenadu-Varianten ermöglichen Angreifern umfassende Kontrolle über infizierte Geräte oder die Durchführung groß angelegten Werbebetrugs.

Neben offiziellen Stores nutzen Kriminelle auch alternative Kanäle. Im Mai 2026 entdeckten Forscher die „FEMITBOT“-Operation, die Telegram Mini Apps für Kryptowährungsbetrug einsetzt. Die Betreiber verwalten über 60 Domains und 140 Telegram-Bots, um Nutzer zur Preisgabe sensibler Login-Daten zu verleiten.

Banking-Trojaner zielen auf Finanzdaten

Der Finanzsektor bleibt das Hauptziel mobiler Cyberkrimineller. Im Frühjahr 2026 wurde „PlayPraetor“ identifiziert – eine Malware, die Banking- und Kryptowährungs-Apps durch Missbrauch der Android-Barrierefreiheitsdienste angreift. PlayPraetor führt Overlay-Attacken durch, fängt Login-Daten ab und liest SMS-basierte Einmalpasswörter (OTPs) aus. Die Möglichkeit, Bildschirme aufzuzeichnen und das Gerät fernzusteuern, macht sie zu einem gefährlichen Werkzeug für unbefugte Überweisungen.

Auch geografische Spezialisierung wird sichtbar: Elastic Security Labs identifizierte „TCLBANKER“, einen brasilianischen Trojaner, der sich über WhatsApp- und Outlook-Phishing-Kampagnen verbreitet. Er zielt auf rund 59 brasilianische Finanzinstitute und Fintech-Dienste ab und nutzt komplexe Techniken wie DLL-Seitenladung über legitime Logitech-Software.

Eine besonders raffinierte Methode entdeckte Cisco Talos: Der „CloudZ“-Remote-Access-Trojaner und sein Plugin „Pheno“ greifen Microsofts Phone-Link-Funktion auf Windows-PCs an. Durch den Zugriff auf die synchronisierte SMS-Datenbank eines kompromittierten Computers umgehen Angreifer die Multi-Faktor-Authentifizierung (MFA) auf dem Mobilgerät des Opfers.

Ein veraltetes Betriebssystem ist wie eine offene Haustür für Cyberkriminelle und Banking-Trojaner. Erfahren Sie in diesem kostenlosen Report, wie Sie durch die richtigen Updates Sicherheitslücken schließen und Ihre Daten dauerhaft vor Malware schützen. Kostenlosen Android-Sicherheits-Ratgeber herunterladen

Botnetze erobern IoT-Geräte

Die Bedrohungslandschaft hat sich über Smartphones hinaus auf IoT-Geräte und Smart-TVs ausgetauscht. Im Mai 2026 entdeckten Forscher das Mirai-basierte Botnetz „xlabs_v1“. Es nutzt den Android Debug Bridge (ADB)-Dienst aus und zielt gezielt auf Geräte mit offenem Port 5555 im Internet. Der Betreiber, bekannt als „Tadashi“, bietet „DDoS-as-a-Service“ mit 21 verschiedenen Flood-Varianten an, die vor allem Gaming-Server stören sollen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zeitgleich hochriskante Warnungen zu kritischen Android-Sicherheitslücken herausgegeben. Die Schwachstelle CVE-2026-0073 könnte Angreifern im selben Netzwerk ermöglichen, beliebigen Code mit Administratorrechten auszuführen. Betroffen sind alle Android-Versionen, die nicht die Sicherheitsupdates der ersten Maiwoche 2026 installiert haben.

Neue Abwehrmaßnahmen gegen KI-gestützte Angriffe

Google hat als Reaktion „Android Binary Transparency“ eingeführt – ein System zur Überprüfbarkeit von Apps, das sicherstellen soll, dass der ausgeführte Code dem entspricht, was die Entwickler beabsichtigten.

International schreitet auch die Regulierung voran: Die indische Börsenaufsicht Sebi hat eine Taskforce namens „cyber-suraksha.ai“ eingesetzt, um Risiken durch KI-basierte Cyber-Werkzeuge zu begegnen. Der Fokus liegt auf Zero-Trust-Architekturen, regelmäßigen Schwachstellen-Scans und dem Einsatz von KI zur Verteidigung.

Die Dringlichkeit dieser Maßnahmen untermauert eine aktuelle Studie von Gigamon: Demnach ist künstliche Intelligenz in 83 Prozent aller gemeldeten Sicherheitsverstöße involviert. Zwar setzen 94 Prozent der Organisationen KI für autonome Sicherheitsfunktionen ein, doch die Zahl der Sicherheitsvorfälle steigt jährlich um 18 Prozent. Besonders besorgniserregend: 87 Prozent der befragten Organisationen fürchten sogenannte „Harvest now, decrypt later“-Angriffe, bei denen Daten heute gestohlen und später entschlüsselt werden.

Rekordzahlen bei Ransomware-Angriffen

Die Android-Welle ist Teil eines größeren Trends. Im April 2026 verzeichnete BlackFog mit 105 öffentlich bekannten Ransomware-Angriffen einen Rekordwert für diesen Monat seit 2020. Die USA bleiben mit 60 Prozent das am stärksten betroffene Land, der Gesundheitssektor erleidet die häufigsten Störungen.

Die zunehmende Professionalisierung zeigt sich auch in staatlich unterstützten Operationen: Die iranische Gruppe MuddyWater setzt „Chaos“-Ransomware als Tarnung für Spionage ein – mit Fokus auf Datendiebstahl statt finanzieller Erpressung.

Ausblick: Agentische KI als neues Schlachtfeld

Sicherheitsexperten erwarten eine weitere Intensivierung des Kampfes gegen betrügerische Apps und mobile Malware. Die kommenden Monate werden einen stärkeren Fokus auf „agentische KI“-Sicherheit bringen, wie neue Leitlinien der US-Behörde CISA und ihrer „Five Eyes“-Partner zeigen. Diese zielen auf Schwachstellen in KI-Systemen wie Microsoft Copilot und Google Gemini innerhalb kritischer Infrastrukturen ab.

Für Android-Nutzer und Unternehmensadministratoren bleibt die Priorität klar: Sicherheitspatches schnell einspielen und administrative Dienste wie ADB in öffentlichen Netzwerken deaktivieren. Die Fähigkeit, die Integrität von Apps durch Initiativen wie Android Binary Transparency zu überprüfen, wird entscheidend sein, um die Flut betrügerischer Anwendungen auf offiziellen Plattformen einzudämmen.

de | wissenschaft | 69287977 |