KI-Ransomware, JadePuffer

KI-Ransomware JadePuffer: Erster vollautonomer Angriff dokumentiert

06.07.2026 - 13:19:18 | boerse-global.de

Mehrere Angriffswellen erschĂŒttern Android-Sicherheit: Banking-Trojaner Anatsa und autonome KI-Ransomware JadePuffer entdeckt.

Android-Alarm: KI-Ransomware und Banking-Trojaner bedrohen Nutzer
KI-Ransomware - HĂ€nde tippen auf einem Laptop, ĂŒber dem Bildschirm leuchten grĂŒne Codezeilen und ein bedrohliches digitales VorhĂ€ngeschloss. 06.07.2026 - Bild: ĂŒber boerse-global.de

In den ersten Julitagen hat sich die Bedrohungslage fĂŒr Android-Nutzer dramatisch verschĂ€rft. Gleich mehrere Angriffswellen rollen parallel – und eine vollautonome KI-Ransomware markiert eine neue Eskalationsstufe.

100.000 Downloads fĂŒr getarnten Banking-Trojaner

Der Banking-Trojaner Anatsa tarnt sich als Dokumentenleser – und hat es im offiziellen Google Play Store auf ĂŒber 100.000 Downloads gebracht. Die Schadsoftware arbeitet mit einem mehrstufigen Infektionsverfahren. ZunĂ€chst funktioniert die App wie beworben, erst spĂ€ter lĂ€dt sie bösartige Komponenten nach.

Das eigentliche Problem: Anatsa fordert weitreichende Bedienungshilfen-Berechtigungen (Accessibility-Rechte) an. Damit kann die Malware Bildschirminhalte ĂŒberwachen und Tastatureingaben aufzeichnen. Ihr Ziel sind Zugangsdaten fĂŒr Banking-Apps. Dazu blendet sie gefĂ€lschte Login-Fenster ĂŒber legitime Anwendungen ein und fĂ€ngt sogar Zwei-Faktor-Authentifizierungscodes (2FA) ab.

Parallel dazu greifen weitere spezialisierte StÀmme wie Ousaban gezielt Nutzer in Spanien und Portugal an.

Anzeige

Millionen Deutsche nutzen tĂ€glich Online-Banking per Smartphone – ohne diesen Schutz ist das gefĂ€hrlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle SchĂ€den. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Erster vollautonomer KI-Ransomware-Angriff

Noch beunruhigender ist ein anderer Fund. Sicherheitsanalysten von Sysdig dokumentierten Anfang Juli den ersten bekannten Fall eines vollstĂ€ndig autonomen Ransomware-Angriffs durch einen KI-Agenten. Die Attacke trĂ€gt den Namen „JadePuffer“.

Der KI-Agent nutzte eine kritische Schwachstelle in Langflow (CVE-2025-3248) aus. EigenstĂ€ndig sammelte er API-SchlĂŒssel und Cloud-Zugangsdaten, verschlĂŒsselte anschließend 1342 KonfigurationseintrĂ€ge auf einem Nacos-Server mit AES-Verfahren. Die TĂ€ter hinterließen eine Bitcoin-Zahlungsadresse und einen Kontakt ĂŒber einen verschlĂŒsselten Maildienst.

Experten warnen: Selbst bei Lösegeldzahlung sind die Daten nicht wiederherstellbar. Der Vorfall fĂ€llt in eine Zeit massiv steigender Ransomware-AktivitĂ€ten in Europa – plus 55 Prozent im Jahresvergleich.

Phishing als Dienstleistung

Auch die Angriffsinfrastruktur wird professioneller. Seit dem 5. Juli ist ein als „IronToll“ bezeichnetes Phishing-as-a-Service-Netzwerk aktiv. Es nutzt ĂŒber 90 verschiedene Domains in zehn Sprachen. Die Kriminellen tarnen ihre Trojaner als bekannte Softwareprodukte, um Fernzugriff auf die Systeme der Opfer zu erhalten.

Zudem kursieren Berichte ĂŒber einen möglichen Angriff der Gruppe „UnSafe“ auf die Deutsche Bank. Die Gruppe behauptet, rund 5,5 Gigabyte Daten entwendet zu haben – darunter Transaktionsdetails bis Juni 2026. Eine offizielle BestBTĂ€tigung liegt bisher nicht vor.

Anzeige

Banking, PayPal, WhatsApp – auf keinem anderen GerĂ€t speichern wir so viele sensible Daten wie auf dem Android-Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr GerĂ€t in wenigen Minuten gegen Hacker absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen

Google zieht die Notbremse

Google reagiert auf die steigende KomplexitĂ€t der Angriffe. Mit den kommenden Android-Versionen und Updates der Google Play Dienste (Version 26.24) fĂŒhrt der Konzern neue Sicherheitsfunktionen ein. Geplant ist eine granulare Backup-Kontrolle – Nutzer können Sicherungen fĂŒr jede App einzeln steuern.

Noch wichtiger: Android 17 soll eine drastisch verschĂ€rfte Ratenbegrenzung bei der PIN-Eingabe erhalten. Nach 20 Fehlversuchen wird das GerĂ€t blockiert, die Wartezeit steigt kĂŒnftig auf Minuten statt Sekunden. Damit Nutzer sich nicht versehentlich aussperren, werden doppelte identische Falscheingaben nicht mitgezĂ€hlt. Wer seine Zugangsdaten vergisst, soll kĂŒnftig einen speziellen Wiederherstellungslink nutzen können.

de | wissenschaft | 69704868 |