Der stille Schädling: warum es sich lohnt, aufmerksam zu sein
Dr.Web und Bleeping Computer berichteten über einen neuen Android-Trojaner, der nicht laut auftritt und keine offensichtlichen Berechtigungen benötigt — er erkennt Werbung visuell auf Seiten mithilfe von Modellen, die in der Browserumgebung laufen (TensorFlow.js), und simuliert Klicks im Hintergrund. Für den Nutzer ist das kein dramatischer Hack — sondern eine beschleunigte Abnutzung des Akkus, erhöhte Mobilfunkkosten und Risiken für private Daten.
Wie der Trojaner arbeitet
Der schädliche Code wird über Updates in legitime Apps eingeschleust. Anschließend arbeitet er in zwei Modi: im «phantom»-Modus finden die Modelle eigenständig Werbeelemente und klicken sie an, wobei menschliches Verhalten imitiert wird; im «signalling»-Modus steuern Angreifer die Aktionen in Echtzeit. Dieser Ansatz erschwert die Erkennung durch traditionelle signaturbasierte Methoden.
"Wir beobachten den Einsatz von TensorFlow.js zur visuellen Erkennung von Werbeelementen im Hintergrund — das ist eine neue Stufe der Automatisierung von Autoklicks, die mit Standardmethoden schwerer nachzuverfolgen ist."
— Dr.Web, Team der Sicherheitsforscher
Verbreitungswege
Der Trojaner wurde über den GetApps‑Store auf Xiaomi‑Geräten und über Drittanbieter‑Repositories (Apkmody, Moddroid) verbreitet sowie über populäre Kanäle in Telegram und Discord. Infizierte Apps sehen wie gewöhnliche Spiele oder Dienstprogramme aus (zu den genannten gehören Theft Auto Mafia, Cute Pet House, Sakura Dream Academy), weshalb Nutzer das Problem selten vermuten, bis der Akku rapide nachlässt.
Was Nutzer und das Land riskieren
Der Schaden ist nicht nur technischer Natur: Kosten für Datenverkehr und Geräteverschleiß sind spürbar, doch wichtiger ist, dass dies eine Grundlage für komplexere Angriffe bietet. Autoklick‑Module können andere Funktionen verschleiern oder „Alarm“-Aktivitäten erzeugen, die von den tatsächlichen Aktionen der Angreifer ablenken. In Kriegszeiten, wenn mobile Geräte Schlüssel für Kommunikation und kritische Dienste sind, untergräbt bereits eine scheinbar „harmlos“ App bei massiver Verbreitung die gesamte Cyberresilienz.
Praktische Schutzschritte
Experten raten zu pragmatischem Vorgehen:
- Installieren Sie keine Apps aus unzuverlässigen Quellen; vermeiden Sie „gecrackte“ APKs und fragwürdige Angebote „Premium kostenlos“.
- Überprüfen Sie die Berechtigungen installierter Apps; achten Sie auf Programme mit Erlaubnis zur Ausführung im Hintergrund und Netzwerkzugriff.
- Verwenden Sie offizielle Shops oder geprüfte Hersteller‑Services, aktivieren Sie Play Protect und aktualisieren Sie das Betriebssystem und Ihre Apps.
- Überwachen Sie Akku und Datenverkehr: unerwartet hoher Verbrauch kann ein Indikator für eine Infektion sein.
- Entfernen Sie verdächtige Apps und scannen Sie das Gerät mit einem Antivirus bekannter Anbieter (z. B. Dr.Web); bei ernsthaften Verdachtsmomenten — sichern Sie Ihre Daten und setzen Sie das Gerät auf Werkseinstellungen zurück.
- Melden Sie gefundene Bedrohungen an CERT‑UA und an den Anbieter Ihres Geräts.
Kontext und Prognose
Diese Kampagne ist ein Beispiel dafür, wie sich Cyberbedrohungen entwickeln: von einfachen Autoklick‑Skripten hin zum Einsatz von Machine‑Learning‑Modellen in der Browserumgebung. Analysten weisen darauf hin, dass ähnliche Mechanismen zur Plattform für komplexere Betrugsfälle werden könnten, einschließlich künftiger finanzieller Verluste. Bereits Anfang 2025 wurden Fälle von Trojanern dokumentiert, die Geld abzweigen oder die Daten großer Modelle manipulieren konnten — ein Trend, der voraussichtlich zunimmt.
Jetzt geht es nicht mehr nur darum, ob ein einzelnes Telefon betroffen ist — sondern darum, wie schnell wir als Nutzer, Branche und Staat solche Bedrohungen erkennen und blockieren können, um kritische Kommunikation und das Vertrauen der Nutzer zu bewahren.
