Android-Notfall: Google warnt vor aktiv genutzten Zero-Days

Die erste Dezemberwoche wird zum Härtetest für die IT-Sicherheit: Google musste Notfall-Patches für zwei Android-Schwachstellen veröffentlichen, die bereits aktiv ausgenutzt werden. Gleichzeitig bedroht eine massive Malware-Kampagne über 4,3 Millionen Browser-Nutzer – und Hardware-Riese ASUS kämpft mit den Folgen einer Lieferkettenattacke.

Die Kombination aus mobilen Zero-Day-Angriffen, kompromittierten Browser-Erweiterungen und Supply-Chain-Schwachstellen trifft ausgerechnet zur Hochphase des Online-Weihnachtsgeschäfts. Experten raten zu sofortigen Kontrollen aller Geräte und Software.

Am 2. Dezember veröffentlichte Google sein Dezember-Sicherheitsbulletin mit Patches für 107 Schwachstellen im Android-Ökosystem. Besonders brisant: Zwei kritische Lücken werden bereits in freier Wildbahn ausgenutzt.

Die beiden Zero-Day-Schwachstellen im Detail:

• CVE-2025-48633: Ermöglicht bösartigen Apps den Zugriff auf sensible Nutzerdaten
• CVE-2025-48572: Verschafft Angreifern erweiterte Systemrechte

Die US-Cybersicherheitsbehörde CISA reagierte umgehend und setzte beide Lücken auf ihre Liste aktiv ausgenutzter Schwachstellen. Bundesbehörden in den USA müssen bis zum 23. Dezember 2025 patchen – eine Frist, die die Dringlichkeit unterstreicht.

Passend zum Thema Android-Zero‑Days und gefährliche Erweiterungen: Viele Nutzer wissen nicht, welche einfachen Maßnahmen ihr Gerät sofort deutlich sicherer machen. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Android – von automatischen Updates über App‑Rechte bis zu Backup-Checks. Gerade nach Fällen wie ShadyPanda sind diese Schritte essenziell, um Datenverlust und Missbrauch zu verhindern. Jetzt kostenlosen Android-Schutz-Ratgeber sichern

“Das Wort ‘gezielte Ausnutzung’ deutet meist auf kommerzielle Spyware-Anbieter oder staatlich unterstützte Akteure hin”, analysieren Sicherheitsforscher von SOCRadar. Die Angriffe wirken zwar bislang begrenzt, doch die öffentliche Bekanntgabe der Schwachstellen löst typischerweise einen Wettlauf unter Cyberkriminellen aus.

Was Nutzer jetzt tun müssen: Sofort prüfen, ob das Sicherheitspatch-Level 2025-12-01 installiert ist. Samsung- und Pixel-Geräte erhalten die Updates bereits, andere Hersteller dürften in den kommenden Wochen nachziehen.

Chrome 143 und die “ShadyPanda”-Bedrohung

Parallel zum Android-Alarm veröffentlichte Google am 2. Dezember Chrome 143 für Windows, Mac und Linux (Version 143.0.7499.40/.41). Das Update schließt 13 Sicherheitslücken, darunter die hochkritische CVE-2025-13630 – eine “Type Confusion”-Schwachstelle in der V8-JavaScript-Engine.

Für die Entdeckung des V8-Fehlers zahlte Google dem Forscher Shreyas Penkar ein Kopfgeld von 11.000 US-Dollar. Bislang gibt es keine Hinweise auf aktive Ausnutzung, doch V8-Schwachstellen sind bei Angreifern beliebt: Sie ermöglichen Schadcode-Ausführung allein durch den Besuch einer präparierten Website.

Browser-Erweiterungen als Einfallstor

Das Browser-Update allein reicht möglicherweise nicht aus. Ein alarmierender Bericht von Koi Security vom 1. Dezember enthüllt eine massive Malware-Kampagne über Browser-Erweiterungen, die über 4,3 Millionen Nutzer betrifft.

Die als “ShadyPanda” bezeichnete Kampagne missbrauchte scheinbar legitime Erweiterungen – darunter beliebte Tools wie “WeTab”, “Infinity New Tab (Pro)” und “Clean Master”. Die perfide Strategie: Die Extensions waren bei der Installation sauber, wurden aber später mit Schadcode aktualisiert.

“Diese Erweiterungen führen nun stündlich Remote-Code aus und laden beliebiges JavaScript mit vollem Browser-Zugriff”, warnen die Koi-Forscher. Die Malware ist in der Lage, verschlüsselte Browser-Verläufe und Cookies an Server in China zu übertragen.

Obwohl Google und Microsoft die betroffenen Erweiterungen am 2. Dezember aus ihren Stores entfernten, bleiben sie auf Millionen Geräten installiert. Nutzer sollten ihre Extensions manuell überprüfen und alle entfernen, die nicht mehr in den offiziellen Stores verfügbar sind.

ASUS-Zulieferer gehackt: Kamera-Quellcode gestohlen

Die Everest-Ransomware-Gruppe behauptete am Montag, den taiwanesischen Tech-Konzern ASUS gehackt zu haben. Die Erpresser drohten mit der Veröffentlichung von 1 Terabyte gestohlener Daten, einschließlich “Kamera-Quellcode”.

Am Mittwoch bestätigte ASUS einen Sicherheitsvorfall – mit wichtiger Einschränkung: Nicht die internen ASUS-Systeme waren betroffen, sondern ein Drittanbieter-Zulieferer.

“Der Vorfall führte zur Offenlegung von Kamera-Quellcode, der in ASUS-Smartphones verwendet wird, betraf aber keine ASUS-Produkte, internen Systeme oder Kundendaten”, erklärte das Unternehmen. Man arbeite daran, die Sicherheitsprotokolle in der Lieferkette zu verstärken.

Diese Klarstellung ist wichtig: Zwar könnte die Offenlegung von Quellcode Angreifern theoretisch helfen, später Schwachstellen in Kamera-Firmware zu finden. Doch es gibt derzeit keine Hinweise darauf, dass Endgeräte kompromittiert oder persönliche Daten gestohlen wurden.

Vertrauen als Schwachstelle

Das zeitliche Zusammentreffen dieser Vorfälle offenbart eine besorgniserregende Entwicklung: Vertrauensmissbrauch als Angriffstaktik.

Ob die “ShadyPanda”-Kampagne über vertrauenswürdige Browser-Erweiterungen oder die ASUS-Attacke über einen Zulieferer – Angreifer umgehen zunehmend gehärtete Perimeter, indem sie den “weichen Unterbauch” vertrauenswürdiger Beziehungen ins Visier nehmen.

“Die ShadyPanda-Kampagne ist besonders heimtückisch, weil sie den Update-Mechanismus selbst als Waffe nutzt”, erklärt ein Cybersicherheitsanalyst. “Nutzer installierten ein sauberes Produkt, die Malware kam später über einen offiziellen Kanal. Das zwingt uns, unser Vertrauen in ‘verifizierte’ Software grundsätzlich zu überdenken.”

Die “gezielte Ausnutzung” der Android-Zero-Days passt zu einem wachsenden Trend der mobilen Bewaffnung. Das Zeitfenster zwischen Entdeckung und Ausnutzung schrumpft – was den monatlichen Patch-Zyklus zum kritischen Ritual digitaler Hygiene macht.

Was jetzt zu tun ist

Mit Microsofts letztem “Patch Tuesday” des Jahres in der kommenden Woche und der ebenfalls diese Woche bekannt gewordenen Salesforce/Gainsight-Lieferkettenattacke (über 200 betroffene Organisationen) bleibt Third-Party-Risikomanagement das beherrschende Thema für den Rest des Jahres 2025.

Für Verbraucher sind die Prioritäten klar:

1. Android-Geräte auf das Patch-Level vom 1. Dezember aktualisieren
2. Chrome sofort auf Version 143 updaten
3. Browser-Erweiterungen überprüfen und unnötige oder unbekannte entfernen

Gerade zur Hochphase des Online-Weihnachtsgeschäfts gilt: Wachsamkeit bei “zu guten” Angeboten und ein Check aller digitalen Schutzmaßnahmen vor Online-Transaktionen sind unverzichtbar.

PS: Noch nicht alle schadhaften Erweiterungen sind von Ihrem Gerät verschwunden – Millionen Nutzer sind betroffen. Unser Gratis-Sicherheitspaket fasst die 5 wichtigsten Schutzmaßnahmen für Android in klaren, sofort umsetzbaren Schritten zusammen: automatische Updates, App‑Rechte prüfen, sichere Quellen, Backup und Play‑Store‑Checks. Inklusive Checklisten für Banking, Shopping und Messaging. Gratis-Sicherheitspaket für Android herunterladen