7. März 2026, 8:34 Uhr | Lesezeit: 3 Minuten

Versteckt ist die Malware in einer gefälschten Banking-App mit dem Namen „MorganArg“. Diese Anwendung orientiert sich optisch an den Apps der Banken Chase und J.P. Morgan. Verbreitet wird die App über manipulierte Webseiten, auf denen Nutzer sie herunterladen können. Viele halten sie deshalb zunächst für eine legitime Banking-Anwendung. Laut den Forschern sind bislang vor allem Menschen in Argentinien betroffen. Die eingesetzte Technik kann allerdings grundsätzlich weltweit eingesetzt werden.

Schadsoftware übernimmt Smartphone fast vollständig

Nach der Installation fordert die App umfangreiche Zugriffsrechte auf dem Smartphone an. Wie ESET auf dem Unternehmensblog berichtet, kann sie danach nahezu alle Aktionen auf dem Gerät steuern. Die Angreifer erhalten Einblick in den Bildschirm in Echtzeit und können dadurch genau sehen, was auf dem Smartphone passiert.

Das ermöglicht ihnen unter anderem, Nachrichten mitzulesen, Überweisungen auszulösen oder Passwörter abzugreifen. Gleichzeitig wird es für Betroffene deutlich schwieriger, die Anwendung wieder zu entfernen. Die Malware nutzt unsichtbare Elemente auf dem Bildschirm, um wichtige Schaltflächen zu blockieren. Dadurch können Betroffene die App häufig weder schließen noch löschen. Die Angreifer erhalten so eine Kontrolle über das Gerät, die in etwa damit vergleichbar ist, das Smartphone selbst in der Hand zu halten.

Mehr zum Thema

Achtung, Porno-Falle! Fiese Sex-Trojaner nehmen Android-Nutzer ins Visier

Vorsicht! Diese Fake-Apps schleusen Trojaner aufs Smartphone

KI analysiert den Bildschirm wie ein Mensch

Eine zentrale Neuerung dieser Schadsoftware ist der Einsatz des KI-Modells Gemini von Google. PromptSpy sendet den aktuellen Bildschirminhalt an diese künstliche Intelligenz. Die KI analysiert die Oberfläche anschließend ähnlich wie ein menschlicher Nutzer.

Auf Grundlage dieser Analyse gibt die KI der Schadsoftware konkrete Anweisungen. So kann die App beispielsweise erkennen, welche Schritte notwendig sind, um ihre eigene Schließung zu verhindern. ESET zufolge funktioniert diese Methode auf nahezu allen Geräten und unabhängig von der jeweiligen Android-Version zuverlässig. Der Grund liegt darin, dass die KI nicht auf fest programmierte Befehlsfolgen angewiesen ist, sondern selbstständig erkennt, was auf dem Bildschirm dargestellt wird.

Bereits im Jahr 2025 hatten Sicherheitsforscher mit PromptLock erstmals eine KI-gestützte Ransomware entdeckt. Ransomware bezeichnet Schadsoftware, die Geräte sperrt oder Daten verschlüsselt, um anschließend Lösegeld zu fordern. PromptSpy führt diese Entwicklung nun weiter.

Auch interessant: EU verschärft Kampf gegen Cybermobbing mit einer App

Hinweise auf Entwickler aus chinesischem Umfeld

Die Analyse der Fachleute deutet darauf hin, dass die Entwickler aus einem chinesischsprachigen Umfeld stammen könnten. In offiziellen App-Stores wurde die gefälschte Anwendung bislang nicht gefunden. Nutzer sollten deshalb Apps grundsätzlich nur aus vertrauenswürdigen Quellen wie Google Play installieren. Besonders vorsichtig sollte man außerdem sein, wenn eine Anwendung Zugriff auf sogenannte Bedienungshilfen verlangt. Diese Funktionen sind eigentlich dafür gedacht, Menschen mit Einschränkungen die Nutzung von Smartphones zu erleichtern. Sie ermöglichen jedoch auch eine sehr weitreichende Steuerung eines Geräts und werden deshalb häufig von Cyberkriminellen missbraucht.

Regelmäßige System-Updates können ebenfalls dazu beitragen, das Risiko zu verringern. Wer vermutet, dass sein Smartphone infiziert ist, kann das Gerät im abgesicherten Modus starten. In diesem Modus lassen sich problematische Apps häufig entfernen. Geräte mit aktiviertem Google Play Protect erkennen bekannte Varianten der Schadsoftware außerdem automatisch.