Die Android-Welt steht unter Hochspannung: Google und Samsung kämpfen gegen aktiv genutzte Sicherheitslücken, während Millionen Nutzer von neuen Malware-Kampagnen bedroht sind. Was diese Woche passiert ist, zeigt deutlich – mobile Sicherheit wird zum Krisenfall.

Google hat in seinem monatlichen Sicherheits-Update stolze 120 Software-Fehler behoben, darunter zwei hochkritische Zero-Day-Lücken, die bereits für gezielte Angriffe missbraucht werden. Gleichzeitig musste Samsung einen Notfall-Patch für eine separate Sicherheitslücke in Galaxy-Geräten veröffentlichen. Als wäre das noch nicht genug, entdeckten Sicherheitsforscher einen raffinierten Banking-Trojaner und eine gigantische Betrugs-Kampagne, die selbst Googles Play Store-Schutzmaßnahmen ausgetrickst hat.

Wettlauf gegen die Zeit bei kritischen Sicherheitslücken

Das September-Update von Google war eines der umfangreichsten des Jahres. Im Fokus stehen zwei Zero-Day-Schwachstellen, die Angreifer bereits ausnutzen. CVE-2025-38352 betrifft den Linux-Kernel, während CVE-2025-48543 die Android Runtime (ART) angreift. Beide Lücken ermöglichen eine Rechte-Erweiterung ohne jegliche Nutzer-Interaktion.

Google bestätigt knapp: "Es gibt Hinweise darauf, dass beide Schwachstellen bereits in begrenzten, gezielten Angriffen ausgenutzt werden." Das klingt harmloser, als es ist – denn solche Formulierungen deuten meist auf Spionage-Software oder staatliche Akteure hin.

Samsung stand ebenfalls unter Druck: Das Unternehmen patche die kritische Lücke CVE-2025-21043, die Angreifer bereits aktiv ausnutzen. Der Fehler in einer Bildverarbeitungs-Bibliothek kann Code-Ausführung aus der Ferne ermöglichen. Betroffen sind Android-Versionen 13 bis 16 – praktisch alle aktuellen Galaxy-Geräte.

Aufgedeckt wurde die Samsung-Lücke ausgerechnet von Meta und WhatsApp. Diese Zusammenarbeit zwischen Konkurrenten zeigt: Die Bedrohungslage ist so ernst, dass selbst rivalisierende Tech-Riesen kooperieren.

"RatOn": Der neue Super-Trojaner für Krypto-Diebstahl

Parallel zu den System-Lücken breitet sich eine neue Generation von Android-Malware aus. Im Zentrum steht RatOn – ein Trojaner, der sich vom simplen NFC-Angriffs-Tool zu einem vollwertigen Banking-Trojaner entwickelt hat.

Was RatOn besonders gefährlich macht? Er kombiniert klassische Overlay-Angriffe mit automatischen Geldtransfers und NFC-Funktionen. Das Ziel: Kryptowährungs-Apps wie MetaMask und Trust Wallet. In Tschechien führte die Malware bereits automatisierte Überweisungen durch – ohne dass die Opfer etwas merkten.

Die Verbreitung erfolgt über gefälschte Erwachsenen-Versionen beliebter Apps wie TikTok, die auf betrügerischen Play Store-Seiten gehostet werden. Ein perfides System: Die Apps funktionieren normal, wenn sie direkt aus dem Store heruntergeladen werden. Erst bei Weiterleitung über Links aktivieren sie ihre schädlichen Funktionen.

38 Millionen Downloads: Der "SlopAds"-Betrug

Noch größer war eine andere Kampagne: Google entfernte 224 bösartige Apps vom Play Store, die zusammen über 38 Millionen Mal heruntergeladen wurden. Die "SlopAds"-Kampagne generierte auf ihrem Höhepunkt 2,3 Milliarden betrügerische Werbeanfragen – pro Tag.

Die Taktik war raffiniert: Apps verhielten sich völlig normal, wenn Nutzer sie direkt über die Store-Suche fanden. Nur wer über externe Links weitergeleitet wurde – eine gängige Marketing-Methode – aktivierte unwissentlich die Betrugs-Software.

Was das für deutsche Nutzer bedeutet

Diese Entwicklungen treffen auch deutsche Android-Nutzer. Besonders brisant: Die Zero-Day-Lücken könnten von Spionage-Software wie Pegasus oder deutschen Staatstrojanern genutzt werden. Auch deutsche Banken-Apps stehen im Visier von Malware wie RatOn.

Für Unternehmen wird die Lage besonders kritisch. Wenn Mitarbeiter private Android-Geräte für Geschäftszwecke nutzen, können diese Bedrohungen schnell zu Datenlecks oder Finanzschäden führen. Deutsche Firmen sollten ihre Mobile-Device-Management-Strategien dringend überprüfen.

Der permanente Cyber-Krieg

Die Ereignisse dieser Woche sind kein Einzelfall – sie zeigen den neuen Normalzustand. Android-Sicherheit ist zum permanenten Wettrüsten geworden. Nutzer können sich auf einen stetigen Strom kritischer Updates einstellen.

Was können Sie tun? Automatische Updates aktivieren, Apps nur aus offiziellen Quellen laden und Berechtigungen genau prüfen. Denn während Google und Samsung gegen die nächste Bedrohung kämpfen, bleibt die erste Verteidigungslinie beim Nutzer selbst.

Die Botschaft ist klar: In der mobilen Sicherheit gibt es keine Pause – nur den nächsten Angriff.