PromptSpy: Was das erste Android-Malware-Beispiel mit integrierter GenAI für Unternehmens-Mobilsecurity bedeutet

Was ist neu an PromptSpy?

ESET-Forscher haben mit PromptSpy eine neue Android-Malware-Familie analysiert, die erstmals generative KI in ihrem Laufzeitverhalten nutzt. Kernpunkt: Die Schadsoftware bindet Googles Gemini-Modell direkt in den Ausführungsfluss ein, um UI-Interaktionen dynamisch zu planen, statt wie üblich auf fest codierte Koordinaten oder Selektoren zu setzen. ([eset.com](https://www.eset.com/us/about/newsroom/research/eset-research-discovers-promptspy-first-android-threat-using-genai/?utm_source=openai))

Die Kampagne zielt aktuell vor allem auf spanischsprachige Nutzer in Argentinien, ausgeliefert über Dropper-Apps, die sich als legitime Updates tarnen. Technisch ist PromptSpy jedoch generisch genug, um sich auf andere Regionen und Zielgruppen übertragen zu lassen. ([hackmag.com](https://hackmag.com/news/promptspy-2?utm_source=openai))

Wie PromptSpy generative KI konkret einsetzt

Ablauf der Infektion

1. Dropper-App im Stil eines spanischsprachigen System- oder App-Updates.

2. Anforderung von Accessibility-Service-Rechten, um Bildschirminhalte auszulesen und Eingaben zu automatisieren.

3. Nach Erhalt der Berechtigungen lädt der Dropper das eigentliche Payload-Modul nach.

Der entscheidende Innovationsschritt folgt danach.

Gemini als „Entscheidungsmodul“ im Ausführungsfluss

Statt statischer Skripte sendet PromptSpy:

• XML-Schnappschüsse der aktuellen Bildschirmoberfläche (inklusive Textlabel, Klassen, Bounding Boxes)

• zusammen mit einem vordefinierten Prompt

an das Gemini-Modell. Gemini antwortet mit strukturierten JSON-Instruktionen, welche Gesten (Tippen, Long-Press, Wischen) an welchen Koordinaten auszuführen sind, um die bösartige App im „Zuletzt verwendete Apps“-Bereich zu pinnen. Dieser Loop wiederholt sich, bis Gemini bestätigt, dass die App „gelockt“ ist. ([theregister.com](https://www.theregister.com/2026/02/19/genai_malware_android/?utm_source=openai))

Damit erreicht PromptSpy:

• Geräte- und Versionsunabhängigkeit: unterschiedliche Android-Skins, Auflösungen oder Layouts werden zur Laufzeit interpretiert.

• Hohe Persistenz: die App lässt sich nicht einfach aus der Multitasking-Ansicht wischen; zusätzliche transparente Overlays blockieren Deinstallationsversuche. ([tech.yahoo.com](https://tech.yahoo.com/cybersecurity/articles/promptspy-malware-uses-ai-tools-194500072.html?utm_source=openai))

Remote-Steuerung und Datendiebstahl

Parallel zur GenAI-Komponente verfügt PromptSpy über ein VNC-Modul, das Angreifern Fernzugriff auf das Gerät ermöglicht:

• Abgreifen von Sperrbildschirm-Credentials und Passcodes

• Aufzeichnung von Gesten, Screenshots und Screencasts

• Einsicht in Benachrichtigungen und potenziell in One-Time-Passcodes (2FA)

Die Kommunikation mit dem Command-and-Control-Server erfolgt verschlüsselt; API-Schlüssel für Gemini werden über den C2-Kanal ausgeliefert. ([tech.yahoo.com](https://tech.yahoo.com/cybersecurity/articles/promptspy-malware-uses-ai-tools-194500072.html?utm_source=openai))

Warum dieser Fall ein Wendepunkt für Unternehmen ist

1. Klassische Erkennungslogik greift nur begrenzt

Signaturbasierte und rein statische Analysen stoßen hier an Grenzen:

• Die schädliche Logik ist teilweise ausgelagert in das Verhaltensmodell von Gemini.

• Ein und dieselbe Malware kann sich auf verschiedenen Geräten unterschiedlich verhalten, obwohl der Binärcode identisch bleibt.

• Erkennung über UI-Muster (z.B. spezifische Koordinaten oder Click-Sequenzen) wird deutlich schwieriger.

Unternehmen können sich deshalb nicht mehr allein auf klassische MDM- oder Antiviren-Signaturen verlassen.

2. Missbrauch legitimer KI-APIs

PromptSpy nutzt einen regulären Cloud-KI-Service (Gemini) über dessen offizielle API. Aus Sicht vieler Sicherheitslösungen sieht der Traffic zunächst wie ein legitimer KI-Aufruf aus. Ein pauschales Blockieren von KI-Diensten ist jedoch für moderne Unternehmen häufig nicht realistisch, insbesondere wenn dieselben Endpunkte auch von eigenen Anwendungen genutzt werden.

Konsequenz: Security-Teams müssen feingranulare Richtlinien etablieren, z.B. anhand von:

• API-Schlüsseln und Service-Accounts

• Ziel-Domains und Kontext (welche App stellt die Anfrage?)

• Anomalien im Aufrufverhalten (z.B. Häufung von Screen-Dumps an KI-Endpunkte)

3. Neue Anforderungen an Mobile-Security- und BYOD-Strategien

Für Unternehmen mit stark mobilem oder BYOD-geprägtem Umfeld ergeben sich unmittelbare Handlungsfelder:

• Strikte Trennung geschäftlicher und privater Nutzung auf Android-Endgeräten (Work Profile, COPE-Modelle).

• Whitelisting von Apps auf Geräten mit Unternehmenszugriff; keine Installation von „Update-Apps“ außerhalb der offiziellen Stores.

• Verbindliche Vorgabe, dass Accessibility-Services nur für definierte, geprüfte Apps erlaubt sind.

4. Anpassung von Incident-Response-Playbooks

PromptSpy zeigt, dass sich Malware durch KI-Unterstützung:

• schneller an neue UI-Layouts anpasst,

• schwerer reproduzieren lässt,

• und sich hartnäckiger im System hält.

IR-Playbooks sollten u.a. ergänzt werden um:

• Spezifische Prüfschritte für Accessibility-Missbrauch (z.B. automatisierte Reports durch EMM/MDM-Lösungen).

• Safe-Mode-basierte Löschroutinen für verdächtige Apps, wenn Deinstallation im Normalmodus blockiert ist.

• Dokumentierte Verfahren, um

- Geräte forensisch zu sichern,

- VNC-ähnliche Remote-Sitzungen zu identifizieren,

- und kompromittierte Zugangsdaten (MFA, Banking, Unternehmensanmeldungen) rückzusetzen.

Konkrete Handlungsempfehlungen für CISOs und IT-Leitung

Kurzfristige Maßnahmen (0–30 Tage)

1. Bestandsaufnahme Android-Geräte

- Welche Endgeräte haben Zugriff auf Unternehmensressourcen (inkl. BYOD)?

- Welche MDM/EMM-Lösung ist im Einsatz, welche Telemetrie steht zur Verfügung?

1. Härtung der App-Landschaft

- Einführung oder Verschärfung eines App-Whitelisting auf Unternehmensgeräten.

- Verbot von App-Installationen aus Drittquellen (Sideloading), sofern geschäftlich nicht zwingend notwendig.

1. Policy zu Accessibility-Rechten

- Zentrale Vorgabe: Nur definierte Business- oder Assistenz-Apps dürfen Accessibility nutzen.

- Rollout eines Prozesses, bei dem neue Accessibility-Anfragen geprüft und freigegeben werden müssen.

1. Monitoring von KI-API-Nutzung

- Sichtbarkeit schaffen, welche mobilen Apps im Unternehmenskontext GenAI-APIs (Gemini, andere) verwenden.

- In SIEM/SOAR-Use Cases aufnehmen: ungewöhnlich häufige, UI-bezogene Requests an KI-Endpunkte von Endgeräten.

Mittelfristige Maßnahmen (1–6 Monate)

1. Überarbeitung des Mobile-Security-Frameworks

- Ergänzung um das Szenario „AI-assisted Malware“.

- Anpassung von Risikoanalysen für mobile Apps, insbesondere wenn diese selbst GenAI integrieren.

1. Supplier- und Third-Party-Risikomanagement anpassen

- Aufnahme von Fragen zur GenAI-Nutzung in Mobile-Apps in Sicherheitsfragebögen und Verträge:

- Welche KI-Dienste werden genutzt?

- Wie werden API-Schlüssel verwaltet?

- Gibt es technische Missbrauchsbarrieren (Rate-Limits, Kontextbeschränkungen)?

1. Schulung von Helpdesk und SOC

- Erkennen typischer PromptSpy-ähnlicher Symptome: App lässt sich nicht schließen, Overlays blockieren „Deinstallieren“-Buttons, ungewöhnliche Screen-Aktivitäten.

- Aufbau eines standardisierten Kommunikationspfads zu Nutzern, um bei Verdacht schnell zu reagieren.

Ausblick: Was kommt nach PromptSpy?

PromptSpy nutzt GenAI bislang nur für einen relativ engen Zweck: Persistenz über UI-Manipulation. Trotzdem ist der Schritt strategisch bedeutsam – er zeigt, dass Angreifer generative Modelle als „allgemeinen Automatisierungs- und Entscheidungsbaustein“ in Malware einbinden können.

Für Unternehmen ist es realistisch anzunehmen, dass künftige Varianten:

• weitere Entscheidungslogik (z.B. Ausweichen vor bestimmten Security-Apps) an KI-Modelle auslagern,

• sich noch stärker daten- und kontextabhängig verhalten,

• und legitime KI-Infrastrukturen nutzen, um sich dem klassischen Monitoring zu entziehen.

Wer heute seine Mobile-Security-, BYOD- und Third-Party-Strategien nicht an diese Entwicklung anpasst, riskiert, bei der nächsten GenAI-gestützten Angriffswelle ohne passende Antwort dazustehen.

Häufig gestellte Fragen (FAQ)

Was ist PromptSpy und warum gilt es als besonderes Android-Malware-Beispiel?

PromptSpy ist eine Android-Malware-Familie, die erstmals ein generatives KI-Modell (Googles Gemini) direkt in ihren Ausführungsfluss integriert. Dadurch kann die Schadsoftware Benutzeroberflächen in Echtzeit analysieren, sich flexibel an unterschiedliche Geräte anpassen und ihre bösartigen Aktionen dynamisch planen.

Wie nutzt PromptSpy generative KI im Infektions- und Angriffsablauf?

Nach der Installation über eine Dropper-App fordert PromptSpy Accessibility-Rechte an, liest Bildschirminhalte aus und sendet UI-Schnappschüsse an Gemini. Das KI-Modell antwortet mit JSON-Anweisungen, die festlegen, welche Gesten und Klicks auf dem Gerät ausgeführt werden, um Persistenz zu erreichen und weitere Angriffe vorzubereiten.

Welche konkreten Risiken entstehen für Unternehmen durch PromptSpy?

PromptSpy ermöglicht unter anderem VNC-ähnlichen Fernzugriff, das Abgreifen von Sperrbildschirm-Credentials und potenziell von Einmal-Codes für 2FA. Dadurch können Unternehmenszugänge, Banking-Apps und vertrauliche Kommunikation kompromittiert werden, insbesondere in BYOD- und mobil geprägten Umgebungen.

Warum stoßen klassische Mobile-Sicherheitslösungen bei PromptSpy an ihre Grenzen?

Weil ein Teil der schädlichen Logik in das Verhalten des KI-Modells ausgelagert ist, reichen signaturbasierte und rein statische Analysen nicht mehr aus. Die Malware kann sich auf unterschiedlichen Geräten verschieden verhalten, obwohl der Code identisch ist, und UI-basierte Erkennungsregeln verlieren an Wirksamkeit.

Wie missbraucht PromptSpy legitime KI-APIs wie Gemini und warum ist das problematisch?

PromptSpy nutzt die offizielle Cloud-API von Gemini, sodass der Netzwerkverkehr zunächst wie legitime KI-Nutzung aussieht. Ein generelles Blockieren solcher Dienste ist für viele Unternehmen nicht praktikabel, weshalb sie feingranulare Richtlinien zu API-Schlüsseln, Ziel-Domains und Anomalie-Erkennung bei KI-Aufrufen benötigen.

Welche Maßnahmen sollten Unternehmen kurzfristig gegen PromptSpy-ähnliche Bedrohungen ergreifen?

Unternehmen sollten ihre Android-Gerätebasis erfassen, App-Whitelisting einführen und Sideloading soweit möglich verbieten. Zusätzlich sind strenge Policies für Accessibility-Rechte, Monitoring der Nutzung von GenAI-APIs und erweiterte Incident-Response-Playbooks für AI-gestützte Malware notwendig.

Wie sollten Mobile-Security- und BYOD-Strategien im Lichte von PromptSpy angepasst werden?

Organisationen sollten eine klare Trennung von privater und geschäftlicher Nutzung (z.B. Work Profile) vorgeben und nur geprüfte Apps auf Geräten mit Unternehmenszugriff zulassen. Zudem gehört das Szenario „AI-assisted Malware“ in Risikoanalysen, Lieferantenbewertungen und Schulungen von SOC- und Helpdesk-Teams aufgenommen.