Android: Massive Sicherheitslücken und Millionen infizierte Geräte
23.09.2025 - 23:05:02Googles September-Update behebt 84 Sicherheitslücken, darunter zwei bereits ausgenutzte Zero-Day-Schwachstellen. Parallel infizierte eine Betrugskampagne 38 Millionen Geräte über manipulierte Play Store-Apps.
Google schließt 84 Schwachstellen, während Cyberkriminelle 38 Millionen Nutzer mit gefälschten Apps attackieren. Zwei Zero-Day-Lücken werden bereits aktiv ausgenutzt.
Die weltweite Android-Community steht vor einer doppelten Bedrohung: Googles September-Sicherheitsupdate schließt nicht nur 84 Vulnerabilitäten, sondern warnt gleichzeitig vor zwei Zero-Day-Lücken, die bereits für gezielte Angriffe missbraucht werden. Parallel dazu deckten Sicherheitsforscher die massive „SlopAds“-Kampagne auf – ein Betrug, der über 224 scheinbar harmlose Play Store-Apps täglich 2,3 Milliarden gefälschte Werbeanfragen generierte.
Diese Entwicklungen zeigen die wachsende Bedrohung für das weltweit meistgenutzte mobile Betriebssystem. Das September-Update gehört zu den umfangreichsten des Jahres und erfordert sofortiges Handeln von Nutzern und Herstellern.
Zero-Day-Angriffe bereits im Einsatz
Zwei kritische Sicherheitslücken werden laut Google bereits aktiv ausgenutzt – vermutlich in gezielten Spionage-Kampagnen gegen hochwertige Ziele. Die Schwachstellen ermöglichen Angreifern, vollständige Kontrolle über kompromittierte Geräte zu erlangen.
CVE-2025-38352 betrifft das Linux-Kernel-System und kann von lokalen Angreifern oder bösartigen Apps ausgenutzt werden, um Administratorrechte zu erlangen und die Sicherheitsmechanismen des Systems zu umgehen.
CVE-2025-48543 liegt in der Android Runtime (ART) und ermöglicht durch einen Memory-Corruption-Bug ebenfalls eine Rechteausweitung. Angreifer können dadurch Sicherheitskontrollen deaktivieren, sensible Daten stehlen oder dauerhafte Malware installieren.
Googles Threat Analysis Group vermutet hinter diesen Angriffen professionelle Spyware-Operationen, die typischerweise Journalisten und Aktivisten ins Visier nehmen. Beide Lücken wurden mit dem Sicherheitspatch vom 5. September geschlossen.
Anzeige: Zero-Day-Lücken zeigen, wie schnell Angreifer Kontrolle über Android-Geräte gewinnen können. Wenn Sie Ihr Smartphone jetzt wirksam absichern möchten, hilft ein kompakter Gratis‑Ratgeber mit den 5 wichtigsten Schutzmaßnahmen – leicht umsetzbar, ohne Zusatz‑Apps. Ideal für WhatsApp, Online‑Banking und Shopping: Schritt‑für‑Schritt erklärt, was wirklich schützt. Kostenloses Android‑Sicherheitspaket anfordern
Samsung kämpft mit eigener Zero-Day-Lücke
Zusätzlich zur Android-Problematik musste Samsung eine separate Zero-Day-Schwachstelle in seinen Galaxy-Geräten schließen. CVE-2025-21043 ermöglicht Fernzugriff durch speziell präparierte Bilder, die über Messaging-Apps verschickt werden können.
Die Lücke wurde von Meta- und WhatsApp-Sicherheitsteams entdeckt und bereits für Angriffe genutzt. Samsung hat den Fix in sein September-Update integriert.
38 Millionen Geräte durch Play Store-Betrug infiziert
Parallel zu den System-Schwachstellen enthüllten Forscher von HUMAN Security die „SlopAds“-Kampagne: 224 manipulierte Apps im Google Play Store infizierten über 38 Millionen Geräte in 228 Ländern. Der Höhepunkt: 2,3 Milliarden gefälschte Werbeanfragen pro Tag.
Die Angreifer nutzten einen perfiden Trick: Apps funktionierten normal, wenn sie direkt aus dem Play Store heruntergeladen wurden. Kamen Nutzer jedoch über Werbeanzeigen zur Installation, lud die App heimlich Schadsoftware nach – versteckt in harmlos wirkenden PNG-Bilddateien.
Das Resultat: Leere Akkus und träge Geräte bei Millionen Nutzern, während die Kriminellen Millionen durch gefälschte Werbeeinnahmen verdienten. Google entfernte alle 224 Apps und aktualisierte Google Play Protect.
Anzeige: Die „SlopAds“-Kampagne zeigt: Selbst im Play Store sind manipulierte Apps möglich. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ erklärt, wie Sie nur geprüfte Apps zulassen, automatische Prüfungen aktivieren und gefährliche Berechtigungen erkennen. So schützen Sie Daten, Akku und Leistung – ohne teure Sicherheits‑Apps. Jetzt gratis downloaden und Smartphone absichern
Neue Strategie bringt größere Updates
Die ungewöhnlich hohe Anzahl von Fixes erklärt sich durch Googles neue „risikobasierte“ Update-Strategie. Kritische Lücken werden sofort gepatcht, kleinere Fixes in größeren, seltenen Updates gebündelt. Das erklärt auch, warum das Juli-Update null Schwachstellen listete.
Die US-Cybersicherheitsbehörde CISA stufte bereits eine der Android-Lücken als so kritisch ein, dass Bundesbehörden bis zum 25. September patchen müssen.
Für Android-Nutzer gilt: Sofort nach verfügbaren System-Updates suchen und installieren. Die Raffinesse der „SlopAds“-Kampagne zeigt zudem: Selbst im offiziellen Play Store ist Vorsicht geboten – besonders bei Apps, die über Werbeanzeigen beworben werden.