SMS-Apps, Einfallstor

SMS-Apps als Einfallstor: Google schließt kritische Android-Lücken

05.12.2025 - 20:13:12

Google veröffentlicht umfangreichen Dezember-Patch gegen Angriffe über ungenutzte SMS-Apps. Zwei bereits aktiv ausgenutzte Zero-Day-Lücken werden geschlossen, doch viele Geräte bleiben gefährdet.

SMS-Apps als Einfallstor: Google schließt kritische Android-Lücken - Foto: über boerse-global.de
SMS-Apps als Einfallstor: Google schließt kritische Android-Lücken - Foto: über boerse-global.de

Ungenutzte Messenger werden zur Waffe. Google reagiert heute mit einem massiven Sicherheitsupdate auf eine perfide Angriffswelle – doch Millionen Smartphones bleiben verwundbar.

Freitag, 5. Dezember 2025 – Die Gefahr lauert in der digitalen Schublade: Veraltete SMS-Apps, die seit Monaten nicht geöffnet wurden, entwickeln sich zum bevorzugten Einfallstor für Cyberkriminelle. Sicherheitsforscher schlagen Alarm, denn Angreifer nutzen diese “Zombie-Apps” als unsichtbare Phishing-Gateways. Das heute veröffentlichte Android-Sicherheitsbulletin zeigt: Google hat reagiert – mit einem der umfangreichsten Updates des Jahres.

Perfider Angriff: Ihr Smartphone als SMS-Schleuder

Das Schema ist tückisch. Nutzer installieren alternative Messaging-Apps oder finden vorinstallierte SMS-Programme auf ihrem Gerät. Im Alltag verwenden sie WhatsApp oder Signal – die alten Apps geraten in Vergessenheit. Doch diese verfügen weiterhin über weitreichende Berechtigungen: SMS senden und empfangen.

Anzeige

Passend zum Thema Android-Sicherheit zeigt unser Gratis‑Ratgeber die 5 wichtigsten Schutzmaßnahmen, mit denen Sie SMS‑Zugriff, ungenutzte Apps und versteckte Berechtigungen sofort kontrollieren können. Mit leicht verständlichen Schritt‑für‑Schritt-Anleitungen lernen Sie, Berechtigungen zu entziehen, verdächtige Apps zu erkennen und automatische Sicherheitsupdates einzurichten – auch ohne Technik‑Vorkenntnisse. Enthalten sind Checklisten, Praxis‑Tipps und konkrete Notfall‑Schritte. Jetzt das kostenlose Android-Sicherheitspaket anfordern

Genau hier setzen Cyberkriminelle an. Malware übernimmt die Kontrolle über diese schlafenden Anwendungen und funktioniert das Smartphone unbemerkt zum SMS-Gateway um. Das Gerät versendet im Hintergrund Tausende Phishing-SMS an andere Nummern – ohne dass der Besitzer in seiner primären Messenger-App etwas bemerkt.

Der Clou: Da die Nachrichten von legitimen Mobilfunknummern stammen, umgehen sie die Spam-Filter der Netzbetreiber. Ihr ungenutztes SMS-Programm wird zur Waffe gegen andere.

Zwei aktiv ausgenutzte Zero-Days

Google schließt heute insgesamt 107 Sicherheitslücken. Besonders brisant: Zwei Schwachstellen werden bereits gezielt ausgenutzt.

Die kritischen Lücken:

  • CVE-2025-48633: Angreifer erhalten Zugriff auf geschützte Systeminformationen
  • CVE-2025-48572: Schadcode kann höhere Systemrechte erlangen

Experten vermuten, dass genau diese Lücken genutzt werden, um die Sandbox-Isolierung zwischen Apps zu durchbrechen. Eine infizierte Spiele-App kann so Befehle an die ungenutzte SMS-App senden und diese fernsteuern – eine Evolution der “Dirty Stream”-Schwachstelle, vor der Microsoft bereits 2024 warnte.

Vom Opfer zum unfreiwilligen Komplizen

Für Cyberkriminelle ist das Modell äußerst lukrativ. Statt teure SMS-Gateways im Darknet zu mieten, bauen sie durch infizierte Smartphones ein kostenloses Botnetz auf. Die Kosten trägt im schlimmsten Fall der Nutzer – durch höhere Mobilfunkrechnungen, verlangsamte Geräte und leere Akkus.

Besonders perfide: Verdächtige Aktivitäten bleiben unsichtbar. Die Malware fängt eintreffende Bestätigungs-SMS ab und löscht sie, bevor der Nutzer sie sieht. Das macht die Zombie-App zum idealen Werkzeug für OTP-Betrug und Massen-Spam.

Wettlauf gegen die Zeit

Mit dem Rollout des Dezember-Patches beginnt ein Wettlauf. In den kommenden Tagen werden Hacker die geschlossenen Lücken analysieren, um neue Exploits zu entwickeln. Besonders gefährdet sind Geräte ohne regelmäßige Sicherheitsupdates und Nutzer, die Apps per Sideloading installieren.

Was Sie jetzt tun müssen:

  • Update sofort installieren: Prüfen Sie unter Sicherheit & Datenschutz, ob der Patch-Level 5. Dezember 2025 verfügbar ist
  • Digitale Entrümpelung: Deinstallieren Sie rigoros alle ungenutzten SMS- und Messaging-Apps
  • Berechtigungen entziehen: Nehmen Sie selten genutzten Apps die Rechte für SMS und Telefon

Branchenbeobachter kritisieren die Praxis vieler Hersteller, Smartphones mit Dutzenden vorinstallierten Apps auszuliefern. Diese “Bloatware” lässt sich oft nur deaktivieren, nicht vollständig entfernen – und vergrößert die Angriffsfläche unnötig.

Für 2026 erwarten Experten verschärfte Regeln für SMS-Zugriff. Bis dahin bleibt die App-Hygiene der beste Schutz.

Anzeige

PS: Wenn Sie verhindern möchten, dass Ihr Smartphone heimlich als SMS‑Gateway missbraucht wird, lohnt sich dieser kostenlose Praxis‑Guide. Er erklärt präzise, welche Einstellungen sofort helfen, wie Sie ungenutzte SMS‑Apps restlos entfernen oder deren Rechte einschränken und welche Patch‑Einstellungen Sie unbedingt aktivieren sollten. Besonders nützlich: eine kurze Notfall‑Checkliste und verständliche Schritt‑für‑Schritt‑Anleitungen, die Sie sofort umsetzen können. Jetzt kostenlosen Android‑Schutz‑Guide herunterladen

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler