Android: Massive Sicherheitslücken und Millionen infizierte Geräte

Google schließt 84 Schwachstellen, während Cyberkriminelle 38 Millionen Nutzer mit gefälschten Apps attackieren. Zwei Zero-Day-Lücken werden bereits aktiv ausgenutzt.

Die weltweite Android-Community steht vor einer doppelten Bedrohung: Googles September-Sicherheitsupdate schließt nicht nur 84 Vulnerabilitäten, sondern warnt gleichzeitig vor zwei Zero-Day-Lücken, die bereits für gezielte Angriffe missbraucht werden. Parallel dazu deckten Sicherheitsforscher die massive „SlopAds“-Kampagne auf – ein Betrug, der über 224 scheinbar harmlose Play Store-Apps täglich 2,3 Milliarden gefälschte Werbeanfragen generierte.

Diese Entwicklungen zeigen die wachsende Bedrohung für das weltweit meistgenutzte mobile Betriebssystem. Das September-Update gehört zu den umfangreichsten des Jahres und erfordert sofortiges Handeln von Nutzern und Herstellern.

Zero-Day-Angriffe bereits im Einsatz

Zwei kritische Sicherheitslücken werden laut Google bereits aktiv ausgenutzt – vermutlich in gezielten Spionage-Kampagnen gegen hochwertige Ziele. Die Schwachstellen ermöglichen Angreifern, vollständige Kontrolle über kompromittierte Geräte zu erlangen.

CVE-2025-38352 betrifft das Linux-Kernel-System und kann von lokalen Angreifern oder bösartigen Apps ausgenutzt werden, um Administratorrechte zu erlangen und die Sicherheitsmechanismen des Systems zu umgehen.

CVE-2025-48543 liegt in der Android Runtime (ART) und ermöglicht durch einen Memory-Corruption-Bug ebenfalls eine Rechteausweitung. Angreifer können dadurch Sicherheitskontrollen deaktivieren, sensible Daten stehlen oder dauerhafte Malware installieren.

Googles Threat Analysis Group vermutet hinter diesen Angriffen professionelle Spyware-Operationen, die typischerweise Journalisten und Aktivisten ins Visier nehmen. Beide Lücken wurden mit dem Sicherheitspatch vom 5. September geschlossen.

Anzeige: Zero-Day-Lücken zeigen, wie schnell Angreifer Kontrolle über Android-Geräte gewinnen können. Wenn Sie Ihr Smartphone jetzt wirksam absichern möchten, hilft ein kompakter Gratis‑Ratgeber mit den 5 wichtigsten Schutzmaßnahmen – leicht umsetzbar, ohne Zusatz‑Apps. Ideal für WhatsApp, Online‑Banking und Shopping: Schritt‑für‑Schritt erklärt, was wirklich schützt. Kostenloses Android‑Sicherheitspaket anfordern

Samsung kämpft mit eigener Zero-Day-Lücke

Zusätzlich zur Android-Problematik musste Samsung eine separate Zero-Day-Schwachstelle in seinen Galaxy-Geräten schließen. CVE-2025-21043 ermöglicht Fernzugriff durch speziell präparierte Bilder, die über Messaging-Apps verschickt werden können.

Die Lücke wurde von Meta- und WhatsApp-Sicherheitsteams entdeckt und bereits für Angriffe genutzt. Samsung hat den Fix in sein September-Update integriert.

38 Millionen Geräte durch Play Store-Betrug infiziert

Parallel zu den System-Schwachstellen enthüllten Forscher von HUMAN Security die „SlopAds“-Kampagne: 224 manipulierte Apps im Google Play Store infizierten über 38 Millionen Geräte in 228 Ländern. Der Höhepunkt: 2,3 Milliarden gefälschte Werbeanfragen pro Tag.

Die Angreifer nutzten einen perfiden Trick: Apps funktionierten normal, wenn sie direkt aus dem Play Store heruntergeladen wurden. Kamen Nutzer jedoch über Werbeanzeigen zur Installation, lud die App heimlich Schadsoftware nach – versteckt in harmlos wirkenden PNG-Bilddateien.

Das Resultat: Leere Akkus und träge Geräte bei Millionen Nutzern, während die Kriminellen Millionen durch gefälschte Werbeeinnahmen verdienten. Google entfernte alle 224 Apps und aktualisierte Google Play Protect.

Anzeige: Die „SlopAds“-Kampagne zeigt: Selbst im Play Store sind manipulierte Apps möglich. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ erklärt, wie Sie nur geprüfte Apps zulassen, automatische Prüfungen aktivieren und gefährliche Berechtigungen erkennen. So schützen Sie Daten, Akku und Leistung – ohne teure Sicherheits‑Apps. Jetzt gratis downloaden und Smartphone absichern

Neue Strategie bringt größere Updates

Die ungewöhnlich hohe Anzahl von Fixes erklärt sich durch Googles neue „risikobasierte“ Update-Strategie. Kritische Lücken werden sofort gepatcht, kleinere Fixes in größeren, seltenen Updates gebündelt. Das erklärt auch, warum das Juli-Update null Schwachstellen listete.

Die US-Cybersicherheitsbehörde CISA stufte bereits eine der Android-Lücken als so kritisch ein, dass Bundesbehörden bis zum 25. September patchen müssen.

Für Android-Nutzer gilt: Sofort nach verfügbaren System-Updates suchen und installieren. Die Raffinesse der „SlopAds“-Kampagne zeigt zudem: Selbst im offiziellen Play Store ist Vorsicht geboten – besonders bei Apps, die über Werbeanzeigen beworben werden.