Android-Sicherheit: Doppelschlag durch Vorinstallationen und Bildschirm-Malware
01.12.2025 - 00:32:12Sicherheitsforscher warnen vor nicht entfernbarer Überwachungssoftware auf Samsung-Geräten und Trojanern, die Verschlüsselung durch Bildschirm-Auslesen umgehen.
Zwei neue Bedrohungen erschüttern das Android-Ökosystem: Nicht entfernbare Spyware auf Budget-Geräten und Banking-Trojaner, die Verschlüsselung aushebeln – ohne sie zu knacken.
Ende November offenbarten Sicherheitsforscher eine beunruhigende Entwicklung: Die größten Risiken für Android-Nutzer lauern nicht mehr nur in zwielichtigen App-Stores. Stattdessen kommen Bedrohungen heute vorinstalliert auf dem Gerät oder umgehen Verschlüsselung durch simples Bildschirm-Auslesen. Was bedeutet das für die 2,5 Milliarden Android-Nutzer weltweit?
Samsung-Geräte mit Spyware ab Werk?
Am Freitag, den 28. November, veröffentlichte Malwarebytes eine brisante Analyse zur “AppCloud”-Software. Die umstrittene Anwendung ist auf Budget-Modellen der Samsung Galaxy A- und M-Serie vorinstalliert – und lässt sich nicht entfernen.
Das Problem: Die Software sitzt tief im Betriebssystem verankert. Eine Deinstallation ist nur durch “Rooting” möglich – ein Vorgang, der Garantien nichtig macht und Sicherheitsfunktionen wie Samsung Knox deaktiviert. Datenschutzaktivisten schlagen Alarm, denn AppCloud sammelt nach eigenen Analysen Geräte-IDs und IP-Adressen, die anschließend an Werbenetzwerke weitergeleitet werden.
Viele Android-Nutzer wissen nicht, wie stark vorinstallierte Apps oder falsch gesetzte Berechtigungen Ihr Gerät angreifbar machen. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android‑Smartphones: geprüfte Apps, Bedienungshilfen richtig einstellen, Berechtigungen kontrollieren, regelmäßige Updates und sichere Messenger‑Einstellungen. Mit Schritt‑für‑Schritt-Anleitungen schützen Sie WhatsApp, Online‑Banking und Zahlungs-Apps vor Bildschirm‑Scraping und Datenabfluss – auch auf günstigen Geräten. Android-Sicherheitspaket jetzt kostenlos herunterladen
Samsung rechtfertigt die Vorinstallation traditionell mit der “Optimierung der Nutzererfahrung”. Doch Sicherheitsexperten sehen darin ein massives Lieferkettenrisiko. “Budget-Käufer haben das gleiche Recht auf Privatsphäre wie Premium-Nutzer”, betont der Malwarebytes-Bericht. Besonders betroffen sind Millionen Geräte im Nahen Osten, Nordafrika und Teilen Europas.
Sturnus-Trojaner: Wenn Verschlüsselung nutzlos wird
Während die AppCloud-Debatte tobt, verbreitet sich parallel eine noch direktere Bedrohung. Am 20. November dokumentierte das niederländische Unternehmen ThreatFabric einen Banking-Trojaner namens “Sturnus”, der Ende-zu-Ende-Verschlüsselung praktisch wirkungslos macht.
Die Methode ist so simpel wie gefährlich: Statt Verschlüsselungsalgorithmen zu knacken, nutzt die Malware Androids “Bedienungshilfen” (Accessibility Services), um den Bildschirm auszulesen. Sobald verschlüsselte Nachrichten von WhatsApp, Signal oder Telegram auf dem Display erscheinen, kopiert Sturnus einfach den sichtbaren Text.
Das Resultat: Angreifer können Zwei-Faktor-Codes abfangen und private Gespräche mitlesen – ohne jemals die Verschlüsselung selbst angreifen zu müssen. Die Schadsoftware tarnt ihren Datenverkehr zudem als legitime Anfragen, was die Erkennung erheblich erschwert. Hauptziele sind bislang Finanzinstitute in Europa.
US-Behörde warnt vor kommerzieller Spyware
Die US-Cybersicherheitsbehörde CISA verschärfte am 25. November die Warnungen. In einem offiziellen Alert beschrieb die Agentur gezielte Angriffe mit kommerzieller Spyware gegen Messaging-Apps.
Konkret nennt CISA die Schadprogramme “ProSpy” und “ToSpy”, die als gefälschte Versionen von Signal oder als vermeintliche App “ToTok” auftreten. Die Klone funktionieren oberflächlich normal, übermitteln aber heimlich Nutzerdaten an Hintermänner.
Ursprünglich richteten sich solche Kampagnen gegen hochrangige Ziele wie Regierungsbeamte, Journalisten und Aktivisten. Doch Sicherheitsexperten beobachten, wie diese Techniken zunehmend in breit angelegten Cybercrime-Operationen auftauchen. Die Kombination aus App-Klonen und Bildschirm-Scraping wie bei Sturnus ergibt einen “gefährlichen Fahrplan für künftige Massen-Malware”, warnen Analysten.
Smishing: Bewährte Angriffsmethode bleibt aktuell
Am 27. November meldete das koreanische Sicherheitsunternehmen AhnLab eine neue Welle gefälschter Liefer-Apps. Die Malware imitiert große Logistikunternehmen und verbreitet sich über SMS-Phishing (Smishing) mit angeblichen Paket-Benachrichtigungen.
Nach der Installation fordert die App weitreichende Berechtigungen, um SMS abzufangen und Gerätedaten an einen Command-and-Control-Server zu senden – gehostet auf einer kompromittierten legitimen Website. Ein Beleg dafür, dass trotz hochentwickelter Spyware die klassische “Gießkannen-Methode” für Massenangriffe weiterhin funktioniert.
Die neue Front im Mobile-Security-Krieg
Die Ereignisse Ende November zeigen einen grundlegenden Strategiewechsel der Angreifer. Nicht mehr das Betriebssystem wird gehackt – sondern die Benutzeroberfläche ausgenutzt. “Wenn Angreifer sehen können, was der Nutzer sieht, wird Verschlüsselung für die Datensicherheit auf dem Endgerät bedeutungslos”, fassen Sicherheitsforscher zusammen.
Das Problem zeigt sich zweigeteilt: Einerseits Bedrohungen “ab Werk” durch vorinstallierte Software wie AppCloud. Andererseits Malware wie Sturnus, die legitime Android-Funktionen missbraucht, statt Sicherheitslücken im klassischen Sinn auszunutzen.
Ausblick: Verschärfter Kampf gegen Accessibility-Missbrauch
Für Dezember und Anfang 2026 erwarten Experten strengere Maßnahmen von Google gegen den Missbrauch der Bedienungshilfen. Zwar hat Google Play Protect für Pixel-Geräte bereits “Live-Bedrohungserkennung” eingeführt, doch das riesige Ökosystem günstiger Geräte mit veralteten Android-Versionen bleibt verwundbar.
Die dringendste Empfehlung: Extreme Vorsicht bei jeder App, die Zugriff auf Bedienungshilfen anfordert – unabhängig davon, wie seriös sie erscheint. Parallel dürfte der Druck auf Samsung und andere Hersteller wachsen. Regulierungsbehörden in der EU könnten künftig vorschreiben, dass sämtliche vorinstallierten Drittanbieter-Apps deinstallierbar sein müssen.
Können Budget-Käufer überhaupt noch sicher sein? Die Antwort liegt zunehmend nicht mehr nur in der Software-Auswahl – sondern bereits in der Hardware-Entscheidung beim Kauf.
PS: Wenn Sie befürchten, dass Apps Ihren Bildschirm auslesen oder vorinstallierte Software heimlich Daten sendet, sollten Sie jetzt handeln. Das kostenlose Android‑Sicherheitspaket nennt fünf sofort umsetzbare Schritte – von der Prüfung der Bedienungshilfen über Berechtigungs-Checks bis zu Update‑Strategien – und zeigt, wie Sie Zwei‑Faktor‑Codes, Messenger‑Inhalte und Banktransaktionen wirkungsvoll schützen. Gratis-Schutzmaßnahmen für Android anfordern
