Android-Malware nutzt KI für millionenschweren Ad-Betrug

Eine neue Generation von Android-Schadsoftware nutzt künstliche Intelligenz, um im Hintergrund infizierter Geräte unerkannt Werbeklicks zu fälschen. Die als besonders raffinierte Bedrohung eingestufte Malware imitiert menschliches Verhalten täuschend echt und entgeht so herkömmlichen Sicherheitsscans.

Entdeckt wurde der Trojaner von Forschern des Sicherheitsunternehmens Dr.Web. Er tarnt sich in Spielen und manipulierten Versionen beliebter Apps, die außerhalb des offiziellen Google Play Stores verbreitet werden. Für Nutzer äußert sich ein Befall oft nur in rätselhaft schnellem Akkuverbrauch, erhöhtem Datenverbrauch und einer langsameren Geräteleistung. Hinter den Kulissen generiert die Malware jedoch Einnahmen für Cyberkriminelle, indem sie automatisiert mit Online-Werbung interagiert. Der Schaden für die Werbewirtschaft geht jährlich in die Milliarden.

„Phantom“-Modus: KI analysiert den Bildschirm

Das Kernstück der neuen Bedrohung ist die innovative Nutzung von Googles eigener Machine-Learning-Bibliothek TensorFlow.js. Anders als ältere Betrugs-Trojaner arbeitet diese Malware mit visueller Analyse. Sie kann sich so an die dynamische und ständig wechselnde Natur moderner Mobilwerbung anpassen.

Der von den Forschern „Phantom“-Modus getaufte Prozess läuft äußerst verdeckt ab. Die Schadsoftware öffnet ein unsichtbares Browserfenster auf dem infizierten Gerät, navigiert zu Ziel-Webseiten und macht Screenshots des dargestellten Inhalts. Das integrierte KI-Modell analysiert diese Bilder, um Werbeanzeigen und klickbare Elemente zu identifizieren. Durch das Simulieren eines Fingerdrucks auf die richtigen Koordinaten fälscht es einen legitimen Werbeklick. Dieser gesamte Vorgang läuft im Hintergrund ab – selbst wenn die ursprüngliche App minimiert ist.

Viele Android-Apps aus inoffiziellen Quellen verbergen gefährliche Funktionen – vom heimlichen Werbeklick bis zu massivem Datenverbrauch. Ein verständlicher Schritt‑für‑Schritt‑Ratgeber für Android-Nutzer zeigt, welche Anzeichen auf eine Infektion hindeuten, welche Einstellungen Sie sofort prüfen sollten und wie Sie unsichere APK‑Quellen vermeiden. Zusätzlich gibt es einen kostenlosen 5‑teiligen E‑Mail‑Kurs mit praktischen Sicherheitstipps. Jetzt kostenlosen Android-Schutz-Guide sichern

Doppelstrategie: KI und menschliche Fernsteuerung

Die Raffinesse der Malware zeigt sich in zwei Betriebsmodi, die den reibungslosen Ablauf des Betrugs sicherstellen. Die primäre Methode ist der automatisierte „Phantom“-Modus mit KI.

Sollte die KI jedoch ein Werbelayout nicht korrekt interpretieren, greift ein Fallback-Mechanismus: der „Signalling“-Modus. Hier nutzt der Trojaner WebRTC-Technologie, um einen Live-Videostream des versteckten Browsers direkt zu den Cyberkriminellen zu übertragen. Ein menschlicher Operator kann dann den virtuellen Bildschirm in Echtzeit fernsteuern, um Hindernisse manuell zu umgehen. Diese Dual-Strategie macht die Malware außergewöhnlich widerstandsfähig.

Verbreitung über Mod-Apps und inoffizielle Stores

Der KI-Trojaner verbreitet sich über inoffizielle Kanäle, die das Verlangen nach kostenlosem Content ausnutzen. Ein bedeutender Verbreitungsweg ist Xiaomis GetApps-Store, in dem mehrere Spiele eines Entwicklers kompromittiert waren. Die Anwendungen waren bei der Einreichung noch sauber, erhielten den Schadcode aber durch spätere Updates.

Die Malware ist auch auf APK-Webseiten wie Apkmody und Moddroid weit verbreitet. Zudem wird sie häufig in „modifizierte“ Versionen beliebter Abo-Apps wie Spotify, Netflix und YouTube eingeschleust. Diese „Mod-Apps“, die Premium-Features kostenlos versprechen, werden über große Telegram-Kanäle und Discord-Server beworben und ziehen ahnungslose Nutzer in die Falle.

Alarmierende Perspektive: KI als Werkzeug der Cyberkriminalität

Das Aufkommen KI-gesteuerter Malware markiert eine besorgniserregende Eskalation. Zwar konzentriert sich dieser Trojaner aktuell auf Werbebetrug, doch die zugrundeliegende Technologie bereitet Sicherheitsexperten Kopfzerbrechen. Die Fähigkeit, Bildschirminhalte visuell zu analysieren und menschliche Interaktion nachzuahmen, ließe sich leicht für schwerwiegendere Angriffe wie Datendiebstahl oder Finanzbetrug umfunktionieren.

Der digitale Werbemarkt steht bereits unter Druck. KI-gesteuerte Bots, deren Klicks kaum noch von echten Nutzerinteraktionen zu unterscheiden sind, könnten noch größere Summen abzweigen, bevor sie entdeckt werden. Dies schädigt nicht nur Werbebudgets, sondern untergräbt das Vertrauen in das gesamte Ökosystem.

Schutz bleibt in Nutzerhand

Da Cyberkriminelle zunehmend Machine Learning in ihr Arsenal integrieren, stehen Sicherheitsfirmen und Plattformbetreiber wie Google vor wachsenden Herausforderungen. Erkennungssysteme müssen sich weiterentwickeln, um die subtilen Merkmale KI-gesteuerter Aktivitäten zu identifizieren.

Für Android-Nutzer bleibt Vorsicht der beste Schutz. Sicherheitsexperten raten dringend davon ab, Apps aus anderen Quellen als dem offiziellen Google Play Store zu installieren. Besonders skeptisch sollte man bei Angeboten sein, die kostenlose Premium-Features versprechen. Regelmäßige Kontrolle von Akkulaufzeit, Datenverbrauch und Geräteleistung kann helfen, eine versteckte Infektion frühzeitig zu erkennen.

PS: Sie vermuten ungewöhnlichen Datenverbrauch oder seltsame App‑Verhalten? Das kostenlose Android‑Starterpaket liefert eine praktische Checkliste, erklärt Schritt für Schritt den sicheren Umgang mit Apps und enthält einen kompakten E‑Mail‑Kurs, mit dem Sie Ihr Gerät dauerhaft schützen können. Ideal für alle, die ohne Fachchinesisch prüfen möchten, ob ihr Smartphone kompromittiert ist. Jetzt Android‑Starterpaket & E‑Mail‑Kurs anfordern