Android-TV-Boxen, Malware-Welle

Android-TV-Boxen: Neue Malware-Welle bestätigt FBI-Warnung

01.02.2026 - 10:04:12

Eine aggressive Schadsoftware hat weltweit über zwei Millionen Streaming-Geräte kompromittiert, die bereits für massive DDoS-Angriffe genutzt wurden. Die Malware ist oft bereits ab Werk installiert.

Android-TV-Boxen: Neue Malware-Welle bestätigt FBI-Warnung - Foto: über boerse-global.de
Android-TV-Boxen: Neue Malware-Welle bestätigt FBI-Warnung - Foto: über boerse-global.de

Eine neue Malware-Variante namens „Kimwolf“ hat Millionen von Android-TV-Boxen infiziert. Sie bestätigt damit die jüngsten Warnungen des FBI vor manipulierter Streaming-Hardware und verwandelt private Heimnetzwerke in Teile krimineller Botnetze.

Kimwolf: Zwei Millionen Geräte im Visier

Sicherheitsanalysten der Firma Synthient meldeten im Januar die massive Verbreitung der neuen Botnet-Variante. Die Schadsoftware befällt laut ihren Berichten weltweit über zwei Millionen günstige Android-TV-Boxen, Set-Top-Boxen und Tablets. Die infizierten Geräte wurden bereits für gewaltige DDoS-Angriffe mit bis zu 30 Terabit pro Sekunde missbraucht.

Kimwolf gilt als aggressive Weiterentwicklung der bekannten „Aisuru“- und „Badbox“- Malware-Familien. Besonders betroffen sind Brasilien, Vietnam und Indien, doch auch in Europa und Nordamerika zählten die Forscher Tausende infizierte Geräte.

Das FBI warnte bereits vor „Badbox 2.0“

Die aktuelle Welle folgt auf eine dringende öffentliche Warnung des FBI vom Juni 2025. Die Behörden warnten damals vor „Badbox 2.0“ – einem Nachfolger einer bereits 2023 bekannten Kampagne.

Anzeige

Viele Privatnutzer und kleine Unternehmen unterschätzen die Gefahr von vorinstallierter Malware auf Billig-Android- und Streaming-Geräten; solche Boxen werden bereits weltweit zu großflächigen Botnetzen zusammengespannt. Ein kostenloses E‑Book fasst aktuelle Cyber‑Security‑Trends zusammen, erklärt Lieferkettenangriffe und zeigt konkrete Sofortmaßnahmen wie Netzwerksegmentierung, regelmäßige Firmware-Checks und sichere Nutzung von App‑Stores. Ideal für IT‑Verantwortliche und technisch interessierte Verbraucher, die ihr Heimnetz effektiv härten wollen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Das perfide Muster bleibt gleich: Die Geräte werden nicht erst beim Nutzer infiziert, sondern kommen mit vorinstallierter Schadsoftware aus der Fabrik. Für den Käufer ist dieser „Lieferkettenangriff“ kaum zu erkennen. Sobald die Box online geht, verbindet sie sich mit Servern der Kriminellen.

Die kompromittierten Geräte dienen anschließend als „Residential Proxies“. Über die privaten Internetanschlüsse der Opfer verschleiern Betrüger dann ihren Datenverkehr für Angriffe, Betrug oder den Diebstahl von Zugangsdaten.

So arbeitet die tief verwurzelte Schadsoftware

Im Gegensatz zu normaler Malware ist die Badbox-Variante oft direkt in die Firmware der Geräte eingebrannt. Ein zentrales Modul – früher „Peachpit“ genannt – generiert im Hintergrund betrügerische Werbeeinnahmen durch automatische Klicks.

Noch gefährlicher ist die Fähigkeit, weitere Schadsoftware nachzuladen. Die Hintermänner können Apps installieren, die Einmal-Passwörter abfangen oder gefälschte Konten bei Diensten wie WhatsApp oder Gmail erstellen. Diese wirken besonders authentisch, weil sie von einer privaten IP-Adresse stammen.

Warum Standard-Schutz oft versagt

Google hat zwar rechtliche Schritte gegen mutmaßliche Botnet-Betreiber eingeleitet und „Google Play Protect“ verschärft. Das Problem bleibt dennoch akut.

Viele der betroffenen Billiggeräte basieren auf einer Open-Source-Android-Version ohne Google-Zertifizierung. Sie nutzen oft Drittanbieter-App-Stores mit geringen Sicherheitskontrollen, sodass der Standard-Schutz von Play Protect nicht greift.

Ein endloser Kampf gegen die Botnetz-Hydra

Die Kimwolf-Welle zeigt: Das Abschalten einzelner Server bringt nur kurzfristige Erfolge. Für jeden abgeschalteten Knoten wachsen neue nach. Der riesige Markt für günstige Streaming-Hardware mit niedrigen Gewinnmargen erschwert die Kontrolle der Lieferketten.

Kritiker bemängeln, dass große Online-Marktplätze weiterhin als Vertriebskanäle für diese unsicheren Geräte dienen. Trotz FBI-Warnung finden sich dort Tausende Angebote unbekannter Marken, die mit „kostenlosem Premium-Content“ werben – ein klassisches Warnsignal.

So schützen Sie sich als Verbraucher

Angesichts der anhaltenden Bedrohung raten Sicherheitsexperten und das FBI zu konkreten Vorsichtsmaßnahmen:

  • Finger weg von No-Name-Geräten: Vermeiden Sie Boxen unbekannter Hersteller ohne erkennbare Website oder Support.
  • Auf Zertifizierung achten: Prüfen Sie in den Einstellungen des Google Play Stores, ob das Gerät „Play Protect zertifiziert“ ist. Fehlt dieser Eintrag, ist es ein hohes Risiko.
  • „Kostenlos“-Versprechen skeptisch sehen: Werbung mit „gejailbreakten“ Geräten oder freiem Zugang zu Bezahlinhalten ist ein starkes Indiz für Kompromittierung.
  • Netzwerk im Blick behalten: Trennen Sie das Gerät sofort vom Netz, wenn es unerklärlich heiß wird oder der Datenverkehr in die Höhe schießt.

PS: Wenn Sie bereits No‑Name‑Boxen oder günstige Streaming‑Geräte nutzen, hilft der Gratis‑Leitfaden mit praxisnahen Checklisten: Wie Sie Netzwerksegmentierung einrichten, Router‑Firewall und Passwörter hart einstellen, verdächtigen Datenverkehr erkennen sowie Firmware‑ und App‑Checks automatisieren. Die Anleitung zeigt außerdem einfache Maßnahmen, mit denen Verbraucher ihr Heimnetz sofort deutlich sicherer machen können. Gratis Cyber-Security-Leitfaden herunterladen

@ boerse-global.de
Mach mehr aus deinem Geld: Erfahre live und kostenlos, welche Strategien am besten funktionieren. Jetzt anmelden.