Android-Nutzer in Gefahr: Google warnt vor aktiv ausgenutzten Sicherheitslücken

Google schlägt Alarm: Zwei Sicherheitslücken in Android werden bereits von Angreifern ausgenutzt. Parallel dazu entdeckten Sicherheitsforscher “Albiriox” – einen Banking-Trojaner, der Geräte komplett fernsteuern kann. Mitten im Weihnachtsgeschäft drängen Experten zu sofortigen Updates. Die Bedrohungslage ist ernst.

Das Dezember-Sicherheitsupdate des Konzerns schließt über 100 Schwachstellen, darunter zwei besonders kritische Zero-Day-Lücken im Android Framework. Google spricht von “gezielter Ausnutzung” – eine Formulierung, die das Unternehmen typischerweise verwendet, wenn kommerzielle Spyware-Anbieter am Werk sind.

Die beiden Schwachstellen CVE-2025-48633 (unerlaubter Datenzugriff) und CVE-2025-48572 (Rechteausweitung) betreffen alle Android-Versionen von 13 bis 16. Besonders CVE-2025-48572 bereitet Sorgen: Angreifer können damit erhöhte Systemrechte erlangen und auf sensible Daten zugreifen – ohne dass Nutzer davon etwas mitbekommen. Eine dritte kritische Lücke, CVE-2025-48631, ermöglicht es Angreifern sogar, Geräte aus der Ferne zum Absturz zu bringen.

Passend zum Thema: Zwei aktiv ausgenutzte Zero‑Days und die neue Albiriox‑Malware zeigen, wie schnell Angreifer Zugriff auf Android‑Geräte erlangen können. Das kostenlose Sicherheitspaket erklärt verständlich die 5 wichtigsten Schutzmaßnahmen – inklusive Checkliste zur Überprüfung von Barrierefreiheits‑Berechtigungen, Play Protect‑Einstellungen und wie Sie unsichere APK‑Installationen vermeiden. Ideal für alle, die Banking‑Apps oder persönliche Daten schützen wollen. Jetzt kostenloses Android‑Schutzpaket herunterladen

Nutzer sollten umgehend prüfen, ob der Sicherheitspatch vom 5. Dezember 2025 installiert ist. Dieser behebt alle bekannten Schwachstellen.

Zeitgleich mit Googles Warnung tauchte eine neue Malware-Bedrohung auf: “Albiriox”. Der zwischen dem 1. und 4. Dezember identifizierte Trojaner gehört zur gefährlichen Kategorie der Remote Access Trojans (RAT) und zielt speziell auf Banking-Apps ab.

Was Albiriox von herkömmlicher Banking-Malware unterscheidet? Statt lediglich Zugangsdaten zu stehlen, übernehmen die Angreifer die Live-Kontrolle über das gesamte Smartphone. Mithilfe missbrauchter Barrierefreiheitsfunktionen können Kriminelle das Gerät fernsteuern, als würden sie es selbst in der Hand halten. Sie öffnen Banking-Apps, navigieren durch Menüs und lösen Überweisungen aus.

Über 400 Finanz- und Krypto-Apps weltweit stehen bereits im Visier der Angreifer. Albiriox wird in Untergrund-Foren als “Malware-as-a-Service” verkauft – ein Geschäftsmodell, das den Einstieg für Betrüger drastisch vereinfacht. Die Verbreitung erfolgt meist über gefälschte Apps, die sich als nützliche Tools tarnen oder als Updates ausgeben. Häufig kommen SMS-Phishing-Kampagnen zum Einsatz.

Android 16 QPR2 bringt neue Schutzfunktionen

Google reagiert auf die Bedrohungslage: Seit dem 2. Dezember läuft die Verteilung von Android 16 QPR2 an Pixel-Geräte. Das Update führt proaktive Sicherheitsmaßnahmen gegen Diebstahl und unbefugten Zugriff ein.

Herzstück ist die neue “Secure Lock”-Funktion. Nutzer können ihr Gerät über das “Mein Gerät finden”-Netzwerk in einen verstärkten Sicherheitsmodus versetzen – auch aus der Ferne. Im gesperrten Zustand werden alle Benachrichtigungen ausgeblendet, und das Entsperren erfordert sowohl die primäre Authentifizierung (PIN, Muster oder Passwort) als auch biometrische Daten. Perfekt, wenn das Smartphone gestohlen wurde, während es entsperrt war.

Zudem verfeinert das Update die “Identity Check”-Funktion. Diese erzwingt biometrische Authentifizierung beim Zugriff auf sensible Einstellungen – etwa beim Ändern der PIN oder Deaktivieren des Diebstahlschutzes. Die Prüfung greift automatisch, sobald das Gerät einen als “vertrauenswürdig” markierten Ort wie die eigene Wohnung verlässt.

Diese Sofortmaßnahmen schützen jetzt

Angesichts ungepatchter Schwachstellen und ausgefeilter Malware wie Albiriox ist konsequentes App-Management die erste Verteidigungslinie. Sicherheitsexperten empfehlen folgende Schritte:

Barrierefreiheits-Berechtigungen überprüfen: Albiriox nutzt Accessibility Services zur Bildschirmsteuerung. Unter Einstellungen > Bedienungshilfen sollten alle Apps ohne legitimen Barrierefreiheitsbedarf die entsprechende Berechtigung entzogen bekommen.

Google Play Protect aktivieren: Das Dezember-Update verbessert Play Protect mit deutlicheren Warnungen bei nicht verifizierten Apps. Die Option “Apps mit Play Protect scannen” sollte in den Play Store-Einstellungen aktiviert sein.

Ungenutzte Apps entfernen: Verwaiste Apps können zur Sicherheitslücke werden, wenn sie an neue Entwickler verkauft oder kompromittiert werden. Alles löschen, was in den letzten drei Monaten nicht genutzt wurde.

Installationsquellen kontrollieren: Das “Sideloading” von Apps über APK-Dateien von Drittanbieter-Websites meiden. Im Google Play Store greifen die neuen “Live Threat Detection”-Funktionen am effektivsten.

Verschiebung im Angriffsmuster

Die Offenlegung zweier aktiv ausgenutzter Zero-Days binnen eines Monats verdeutlicht den immensen Druck, unter dem mobile Betriebssysteme durch hochentwickelte Angreifer stehen. Die “gezielte” Natur der Attacken legt nahe, dass hochwertige Ziele wie Journalisten, Aktivisten und Führungskräfte im Fokus stehen. Dennoch sind die Patches für die breite Öffentlichkeit essenziell, um zu verhindern, dass diese Werkzeuge in gewöhnliche Cybercrime-Arsenale wandern.

“Das Auftauchen von Albiriox bestätigt einen Trend, den wir 2025 durchgängig beobachtet haben: Malware wechselt von passivem Datendiebstahl zur aktiven Geräteübernahme”, erklärt die Mobile-Security-Analystin Dr. Elena Weber. “Angreifer umgehen Zwei-Faktor-Authentifizierung nicht mehr durch gestohlene Codes, sondern durch physische Fernmanipulation des Geräts. Das macht On-Device-Sicherheitsfunktionen wie Android 16s Identity Check unverzichtbar.”

Was kommt 2026?

Für Anfang 2026 ist zu erwarten, dass Google die Zugangshürden zur Accessibility-API weiter erhöht. Vermutlich wird eine strengere Verifikation für alle Apps erforderlich, die diese mächtigen Berechtigungen anfordern. Die in QPR2 eingeführte “Secure Lock”-Funktion dürfte ein Vorbote aggressiverer Anti-Diebstahl-Protokolle sein, die mithilfe von On-Device-KI automatisch “Entreißungs”-Szenarien erkennen.

Das Zeitfenster für Angriffe über CVE-2025-48633 und CVE-2025-48572 schließt sich mit der Patch-Verteilung. Nutzer sollten Updates aber manuell anstoßen (Einstellungen > System > Systemupdate), statt auf automatische Benachrichtigungen zu warten – diese können je nach Mobilfunkanbieter Tage oder Wochen verzögert eintreffen.

PS: Haben Sie Ihr Android bereits umfassend abgesichert? Der kostenlose Guide “Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone” bietet praxisnahe Checklisten – etwa zum Prüfen von Accessibility‑Berechtigungen, zur optimalen Konfiguration von Play Protect und zum sicheren Umgang mit App‑Installationen. Holen Sie sich die Schritt‑für‑Schritt‑Anleitung per E‑Mail und schützen Sie Ihre Banking‑Apps effektiv. Jetzt kostenloses Android‑Schutzpaket anfordern