GhostAd: Millionenfache Android-Infektion über Play Store

Eine hochentwickelte Malware-Kampagne hat den Google Play Store unterwandert und Millionen Android-Geräte weltweit infiziert. Die als „GhostAd” bezeichnete Schadsoftware tarnte sich als harmlose Apps und saugt im Hintergrund Akkus leer – selbst wenn das Smartphone scheinbar nichts tut.

Sicherheitsforscher von Check Point schlugen diese Woche Alarm: Mindestens 15 infizierte Anwendungen hatten sich als Emoji-Generatoren, Cleaner-Tools und andere Hilfsprogramme ausgegeben. Google hat die Apps mittlerweile entfernt, doch Experten warnen: Wer eine dieser Anwendungen installiert hat, muss selbst aktiv werden.

Getarnt als Top-App: Der Aufstieg der Malware

Besonders perfide: Eine der infizierten Apps kletterte auf Platz 2 der kostenlosen Tools im Play Store. Wie konnte das passieren?

Die Angreifer nutzten eine Grauzone. Statt klassischer Schadsoftware setzten sie auf missbrauchte Werbe-Technologie. Die Apps wirkten nach der Installation zunächst völlig legitim und schafften es so, Googles Sicherheitsprüfungen zu umgehen. Erst nach Tagen begann das unsichtbare Treiben.

Passend zum Thema Android-Sicherheit: Viele Nutzer erkennen Adware erst, wenn Akku und Datenvolumen leiden. Der kostenlose Ratgeber “Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone” zeigt Schritt-für-Schritt, wie Sie unsichtbare Werbe‑Malware finden, Play Protect richtig konfigurieren und verdächtige Apps sicher entfernen. Ideal für Betroffene von GhostAd und zur Prävention. Inklusive praktischer Checkliste für die sofortige Bereinigung. Schnell herunterladen und sofort umsetzen. Gratis-Sicherheitspaket für Android herunterladen

Der geografische Schwerpunkt lag in Südostasien – allen voran Philippinen, Pakistan und Malaysia. Doch auch in Europa, Afrika und Nordamerika wurden Infektionen bestätigt. Die Dimensionen sind gewaltig: Millionen Downloads sprechen für eine der erfolgreichsten Adware-Kampagnen der jüngeren Geschichte.

„GhostAd zeigt, wie legitime Werbeinfrastruktur zum Missbrauchsnetzwerk wird – ganz ohne Sicherheitslücken”, erklären die Check-Point-Forscher. Die Täter verwandelten Smartphones in unsichtbare Werbefarmen.

Der technische Trick: Unsichtbar und unsterbbar

Was macht GhostAd so gefährlich? Die Hartnäckigkeit.

Normale Apps stoppen, wenn man sie schließt. Nicht so diese Malware: Sie nutzt sogenannte Vordergrunddienste, um dauerhaft aktiv zu bleiben. Android schreibt eigentlich vor, dass solche Dienste eine sichtbare Benachrichtigung zeigen müssen – etwa wie Musik-Player oder Navigations-Apps.

Die Entwickler hinter GhostAd fanden einen Ausweg: Sie programmierten transparente, praktisch unsichtbare Benachrichtigungen. Technisch regelkonform, praktisch verborgen.

Noch raffinierter: Der integrierte „JobScheduler” sorgt für Selbstheilung. Versucht das Betriebssystem oder der Nutzer, den Prozess zu beenden, startet dieser innerhalb von Sekunden automatisch neu. Ein endloser Kreislauf, der den Angreifern kontinuierlich Werbeeinnahmen beschert – durch Anzeigen, die niemand sieht.

Wenn das Smartphone zur Heizung wird

Für Betroffene sind die Folgen spürbar – buchstäblich. Der Prozessor läuft permanent auf Hochtouren, um unsichtbare Werbung zu laden und zu aktualisieren.

Typische Symptome einer GhostAd-Infektion:

• Akku-Kollaps: Das Gerät entlädt sich rasant, selbst im Standby-Modus
• Überhitzung: Das Smartphone wird heiß, obwohl es scheinbar nichts tut
• Datenverbrauch explodiert: Video- und Banner-Werbung frisst unkontrolliert Datenvolumen
• Träge Bedienung: Apps reagieren verzögert, das System wirkt überlastet

Die Nutzerkommentare in den inzwischen gelöschten Play-Store-Einträgen sprechen Bände: Viele klagten, die Apps seien „unmöglich zu deinstallieren” oder hätten ihre Telefone „unbenutzbar” gemacht.

Googles Reaktion – und das größere Problem

Google handelte nach der Enthüllung schnell. Alle identifizierten Apps wurden aus dem Store entfernt. Google Play Protect, der eingebaute Virenschutz auf Android-Geräten, wurde aktualisiert und deaktiviert die Schadsoftware nun automatisch.

Doch der Fall offenbart ein strukturelles Dilemma: GhostAd bewegte sich in einer Grauzone. Die Angreifer nutzten legitime Werbe-SDKs großer Netzwerke wie Pangle, Vungle und AppLovin. Statt klassischer Malware-Techniken missbrauchten sie autorisierte Entwickler-Werkzeuge.

Für automatisierte Sicherheitsscanner ist dieser „Reputations-Diebstahl” kaum erkennbar. Cybersecurity-Analysten fordern deshalb einen Paradigmenwechsel: App-Stores müssten stärker auf verhaltensbasierte Analysen setzen, statt nur Code zu scannen.

Was Nutzer jetzt tun sollten

Die Apps sind aus dem Store verschwunden – doch wer sie bereits installiert hat, trägt das Problem weiter mit sich herum. Eine manuelle Überprüfung ist unerlässlich.

Checkliste zur Bereinigung:

1. Akkuverbrauch checken: Einstellungen > Akku zeigt verdächtige Energiefresser im Hintergrund
2. Play Protect aktivieren: Im Play Store unter „Sicherheit” prüfen, ob der Schutz aktiv ist
3. Zweifelhaftes löschen: Alle Utility-Apps ohne klaren Entwickler-Hintergrund deinstallieren – besonders wenn die Installation in den letzten drei Monaten erfolgte

Kann man solchen Angriffen vorbeugen? Skepsis ist der beste Schutz. Kostenlose „Optimierungs-Tools” versprechen oft mehr, als sie halten – und sind das bevorzugte Einfallstor für Adware.

Mit Blick auf 2026 erwarten Experten weitere Eskalationen. Die Zeiten, in denen Malware sich durch plumpe Tricks verriet, sind vorbei. GhostAd demonstriert: Die nächste Generation von Schadsoftware versteckt sich hinter legitimen Fassaden – und wird dadurch umso gefährlicher.

PS: Übrigens: Wer sein Android jetzt schützt, spart später Nerven und Datenvolumen. In unserem kostenlosen Sicherheitspaket erfahren Sie neben den fünf Maßnahmen auch, welche Einstellungen Play Protect optimal nutzen, welche Berechtigungen Apps nicht brauchen und wie Sie automatische Updates und App‑Quellen sicher verwalten. Holen Sie sich die praktische Checkliste für die schnelle Bereinigung nach einer GhostAd-Infektion. Sofort per E‑Mail erhältlich. Jetzt kostenloses Android-Sicherheitspaket anfordern