Sicherheitsforscher von ESET haben eine neue Android-Schadsoftware namens PromptSpy analysiert, die als erste bekannte Android-Malware direkt eine generative KI im Ausfuehrungspfad nutzt. Der Schaedling bindet die Cloud-KI Google Gemini ein, um sich dynamisch an unterschiedliche Benutzeroberflaechen anzupassen, seine Persistenz zu sichern und dadurch die Erkennung und Entfernung deutlich zu erschweren.
Von VNCSpy zu PromptSpy: schnelle Evolution einer Android-Malware-Familie
Laut ESET geht PromptSpy aus einem bisher unbekannten Schaedling namens VNCSpy hervor. Erste VNCSpy-Samples wurden am 13. Januar 2026 aus Hongkong auf VirusTotal hochgeladen. Bereits am 10. Februar 2026 tauchten dort vier deutlich weiterentwickelte PromptSpy-Varianten aus Argentinien auf – ein Hinweis auf eine rasche Professionalisierung und aktive Weiterentwicklung der Malware-Familie.
Die aktuelle Kampagne scheint vor allem auf spanischsprachige Nutzer in Argentinien ausgerichtet zu sein. Das Interface des gefaelschten Updates ist auf Spanisch gehalten, und die bekannten Infektionsvektoren sind Websites, die sich an diese Zielgruppe wenden. Gleichzeitig entdeckten Analysten im Debug-Code vereinfacht chinesische Sprachfragmente, was auf den Entwicklungsstandort oder das Umfeld der Angreifer hindeuten koennte.
Die Angreifer verfolgen mit hoher Wahrscheinlichkeit finanzielle Motive. Aehnliche Android-Kampagnen konzentrieren sich seit Jahren auf den Diebstahl von Banking-Zugangsdaten, Zugang zu Krypto-Wallets und Firmenkonten – ein Muster, das auch zu den Faehigkeiten von PromptSpy passt, wie aus diversen Mobile-Threat-Reports hervorgeht.
Wie PromptSpy Google Gemini fuer Persistenz und Tarnung missbraucht
Der zentrale Innovationspunkt von PromptSpy ist der aktive Einsatz von Google Gemini innerhalb der Malware-Logik. Ziel ist es, das eigene App-Icon in der Uebersicht der zuletzt verwendeten Anwendungen zu pinnen, damit Android es nicht automatisch beendet oder der Nutzer es mit „Alle loeschen“ entfernt. Viele legitime Hintergrunddienste nutzen diese Funktion – sie ist daher auch fuer Malware attraktiv.
Automatisierte Bedienung der Android-Oberflaeche durch KI
Die Herausforderung fuer Angreifer: Die Pin-Funktion ist je nach Hersteller, Android-Version und UI-Variante unterschiedlich umgesetzt. Feste Koordinaten oder statische Skripte sind auf der stark fragmentierten Android-Landschaft unzuverlaessig. PromptSpy umgeht dieses Problem mithilfe einer generativen KI.
Der Schaedling erzeugt zunaechst einen XML-Dump des aktuellen Bildschirms, inklusive aller UI-Elemente, Textlabels, Klassen und Koordinaten. Dieser Dump wird zusammen mit einem Prompt an die Gemini-API gesendet. Die KI analysiert den Bildschirminhalt und liefert ein JSON mit exakten Anweisungen, welche Buttons oder Bildschirmbereiche anzutippen sind, um das App-Icon zu fixieren.
PromptSpy setzt diese Anweisungen ueber den Android Accessibility Service um, der fuer Barrierefreiheit gedacht ist, aber von Angreifern haeufig missbraucht wird. Nach jedem Schritt liest die Malware den Bildschirminhalt erneut aus, sendet ihn abermals an Gemini und wiederholt den Zyklus, bis die KI bestaetigt, dass die App erfolgreich in der Uebersicht der letzten Apps angeheftet ist.
Der fuer Gemini noetige API-Schluessel wird nicht im APK hinterlegt, sondern dynamisch ueber einen Command-and-Control-Server (C2) unter der IP-Adresse 54.67.2[.]84 abgerufen. Dadurch erschweren die Angreifer statische Analysen und erschweren die Erkennung ueber einfache String-Signaturen.
Spionagefunktionen: Vollzugriff auf infizierte Android-Geraete
Im Fokus von PromptSpy steht Spionage und Remote-Kontrolle. Die Malware integriert ein VNC-Modul (Virtual Network Computing), das den Angreifern nahezu vollständigen Fernzugriff ermoeglicht: Bei aktivierten Accessibility-Rechten koennen sie den Bildschirm in Echtzeit sehen und interaktiv steuern, als hielten sie das Geraet physisch in der Hand.
Zu den dokumentierten Funktionen gehoeren das Abgreifen von PINs und Passwoertern des Sperrbildschirms, das Aufzeichnen von Muster-Entsperrgrafiken, die Erstellung von Screenshots auf Befehl sowie das Auslesen der installierten Apps und des aktuellen UI-Zustands. In Kombination ermoeglicht dies den zielgerichteten Diebstahl von Zugangsdaten zu Banking-Apps, Krypto-Wallets, Firmenportalen und anderen sensiblen Diensten.
Anti-Removal-Techniken: Warum sich PromptSpy kaum normal deinstallieren laesst
Besonders kritisch ist der Selbstschutzmechanismus gegen Deinstallation. Versucht der Nutzer, die App zu loeschen oder wichtige Berechtigungen zu entziehen, legt PromptSpy unsichtbare, transparente Overlays ueber Buttons wie „Deinstallieren“ oder „Stoppen“.
Faktisch klickt der Anwender damit nicht mehr auf die echten Systembuttons, sondern auf eine Attrappe. Die erhoffte Aktion bleibt aus, waehrend das Geraet scheinbar korrekt reagiert. Laut Analyse ist derzeit nur der Start im Android-Sicherheitsmodus (Safe Mode) ein zuverlaessiger Weg, um PromptSpy zu entfernen, da dort alle Drittanbieter-Apps temporaer deaktiviert werden und sich die Malware dann regulär deinstallieren laesst.
Infektionskette: Phishing-Websites und gefaelschte Banking-Updates
Nach Erkenntnissen von ESET wurde PromptSpy unter anderem ueber die Domain mgardownload[.]com verbreitet. Nach Installation eines initialen Droppers oeffnete dieser eine Seite auf m-mgarg[.]com, die visuell an den Auftritt der US-Bank JPMorgan Chase angelehnt war.
Nutzern wurde dort nahegelegt, die Installation aus „unbekannten Quellen“ zu aktivieren, angeblich um ein wichtiges Sicherheitsupdate oder eine Banking-Komponente einzuspielen. Im Hintergrund lud der Dropper eine Konfigurationsdatei nach, die die eigentliche PromptSpy-Nutzlast referenzierte. Diese tarnte sich als legitimes Update, um Misstrauen zu reduzieren – ein Muster, das auch aus anderen Android-Banking-Trojanern bekannt ist.
Noch ist unklar, ob die beobachteten Samples bereits in grossem Stil eingesetzt wurden oder eher einem Proof-of-Concept aehneln. Die Kombination aus eigener Phishing-Infrastruktur, gezielter Lokalisierung und der komplexen Einbindung von Gemini deutet jedoch darauf hin, dass konkrete Betrugswellen vorbereitet oder bereits getestet werden.
Konsequenzen fuer Mobile Security und empfohlene Schutzmassnahmen
PromptSpy markiert einen wichtigen Wendepunkt: Generative KI wird von einem Content-Werkzeug zu einem aktiven Angriffskomponenten in Malware. Waehren fruehere Kampagnen KI vor allem zum Erstellen von Phishing-Mails oder Social-Engineering-Texten nutzten, setzt PromptSpy Gemini ein, um technische Huerden wie die Fragmentierung des Android-Oekosystems zu ueberwinden und Interaktionen mit der UI zu automatisieren.
Fuer Unternehmen und Privatnutzer ergeben sich daraus mehrere Handlungsfelder. Sicherheitsreports von Google und verschiedenen Anbietern von Mobile-Security-Loesungen zeigen seit Jahren, dass Sideloading aus unbekannten Quellen, der großzügige Einsatz von Accessibility-Rechten und fehlende Kontrolle mobiler Endgeraete zentrale Einfallstore fuer Android-Malware sind.
Organisationen sollten daher ihre Mobile-Security-Strategie schaerfen: Nutzung eines Mobile Device Management (MDM), der Einsatz moderner Mobile-EDR-Loesungen, strikte Richtlinien fuer App-Installationen sowie die Deaktivierung von Entwickleroptionen und Sideloading, wo immer moeglich. Schulungen, in denen Anwender lernen, Phishing-Seiten und gefaelschte Updates zu erkennen und Geraete bei Verdacht in den Safe Mode zu starten, sind ein zusaetzlicher Sicherheitsgewinn.
PromptSpy zeigt, dass Angreifer generative KI schnell adaptieren, um Sicherheitsmechanismen zu umgehen und Angriffe zu skalieren. Wer Android-Geraete im privaten oder beruflichen Umfeld einsetzt, sollte seine Schutzmassnahmen jetzt ueberpruefen, Berechtigungen wie Accessibility bewusst und restriktiv vergeben und auf etablierte Quellen wie den offiziellen Play Store oder unternehmenseigene App-Kataloge setzen. Die fruehzeitige Auseinandersetzung mit KI-gestuetzter Malware ist ein entscheidender Schritt, um kuenftige Angriffswellen rechtzeitig zu erkennen und wirksam zu begrenzen.
