PromptSpy: Die erste Android-Malware mit Generative AI — Warum das die Bedrohungslandschaft fundamental ändert

Am 19. Februar 2026 veröffentlichte ESET Research einen Bericht über PromptSpy — die erste bekannte Android-Malware, die Generative AI (speziell Google Gemini) in ihrem Execution Flow nutzt, um Persistence zu erreichen. Die Entdeckung markiert einen Wendepunkt: Malware nutzt nicht länger nur AI-generierte Phishing-Texte oder Deepfakes, sondern integriert Large Language Models direkt in die operative Logik. Das ist keine hypothetische Bedrohung mehr — es ist ein Live-Sample, das im Februar 2026 aktiv in zwei Varianten identifiziert wurde.

Was ist PromptSpy?

PromptSpy ist eine Android-Malware-Familie, die Google Gemini (Googles Generative AI Chatbot) missbraucht, um dynamisch Befehle zu generieren und Persistence-Mechanismen zu umgehen. Konkret:

• Ziel: Verbleib im Recent-Apps-Screen, um dauerhaft aktiv zu bleiben
• Methode: Sendet Prompts an Gemini API, um herauszufinden, welche Android-Systemeigenschaften (z.B. ro.product.manufacturer) geprüft werden müssen
• Dynamik: Die Malware passt sich zur Laufzeit an verschiedene Android-Versionen und Hersteller an, ohne dass Code-Updates nötig sind ESET-Forscher erklären: „PromptSpy continues prompting Gemini … waits for validation before moving on." Die Malware verhält sich wie ein Entwickler, der iterativ debuggt — nur dass der „Entwickler" ein LLM ist.

Technische Details: Wie PromptSpy Gemini missbraucht

1. API-Integration

PromptSpy enthält hardcoded Prompts, die an Googles Gemini API gesendet werden. Beispiel-Prompt (vereinfacht): „Which Android system properties need to be set to keep an app in the recent-apps list on [Manufacturer X] devices running Android 14?" Gemini antwortet mit konkreten Property-Namen (z.B. persist.sys.app_keep_alive). Die Malware setzt diese Properties dann via Root- oder Accessibility-Exploits.

2. Persistence-Mechanismus

Android-Systeme verwenden verschiedene Heuristiken, um Apps aus dem Recent-Screen zu entfernen (z.B. bei niedrigem RAM). PromptSpy umgeht das durch:

• Dynamische Property-Anpassung: Fragt Gemini nach gerätespezifischen Tricks
• Accessibility-Missbrauch: Nutzt Accessibility-Services, um sich selbst als „wichtig" zu markieren
• Root-Exploits: Falls verfügbar, setzt direkte Kernel-Flags

3. Zwei Varianten

ESET identifizierte zwei Versionen:

• Variante A: Nutzt Gemini für Android-System-Properties
• Variante B: Erweiterte Version mit zusätzlichen C2-Prompts (Command & Control via AI)

Warum das ein Paradigmenwechsel ist

Bisher nutzte Malware AI hauptsächlich für:

• Content-Generierung: Phishing-Mails, Deepfake-Videos
• OSINT-Automatisierung: Scraping, Social Engineering
• Exploit-Discovery: Automatisches Fuzzing (z.B. via ChatGPT-gestützte Skripte) PromptSpy ist anders: Das LLM ist Teil der Runtime-Logik. Die Malware hat keine festen Persistence-Strategien mehr — sie fragt zur Laufzeit nach der optimalen Taktik für das spezifische Zielgerät.

Implikationen:

• Polymorphismus ohne Code-Updates: Die Malware bleibt funktional auf neuen Android-Versionen, ohne dass Angreifer Patches ausliefern müssen
• Detection-Evasion: Klassische Signatur-basierte AVs können das Verhalten nicht vorhersagen, da es dynamisch generiert wird
• Supply-Chain-Risk: Falls Gemini API kompromittiert wird (oder Angreifer eigene LLMs hosten), können sie die Malware-Logik remote ändern

Kontext: Der breitere Trend — AI als Adversarial Tool

PromptSpy reiht sich ein in eine Serie von AI-gestützten Bedrohungen:

1. WormGPT & FraudGPT (2023-2024)

Dark-Web-LLMs, die ohne Content-Filter Phishing-Kampagnen automatisieren. Kosten: $600/Monat für Subscription.

2. Deepfake-Ransomware (2025)

Angreifer nutzen AI-generierte CEO-Stimmen für Wire-Transfer-Betrug. Durchschnittlicher Schaden: $2,5M pro Vorfall (Sophos 2025).

3. AI-Generated Exploits (2026)

Security-Forscher demonstrierten, dass GPT-4 Turbo Zero-Day-Exploits für CVE-2023-XXXXX generieren kann, wenn es mit einem Proof-of-Concept gefüttert wird. PromptSpy ist die logische Eskalation: AI ist nicht mehr nur das Werkzeug — es ist der Angriffscode selbst.

Was bedeutet das für Cybersecurity-Anbieter?

1. Behavioral Analytics wird kritisch

Signatur-basierte Detection versagt gegen polymorphe AI-Malware. Lösungen:

• EDR mit ML-basierten Anomaly-Detection (z.B. CrowdStrike Falcon, SentinelOne Singularity)
• Runtime Application Self-Protection (RASP) — blockiert API-Calls zu Gemini in unbekannten Kontexten

2. API-Security wird zum Frontline

PromptSpy nutzt legitime APIs (Gemini). Zukünftige Malware könnte auch OpenAI, Anthropic oder Mistral APIs missbrauchen. Gegenmaßnahmen:

• Rate Limiting + Behavioral Throttling (z.B. Cloudflare API Shield)
• Prompt Injection Detection — Tools wie Lakera Guard oder Robust Intelligence

3. Mobile Threat Defense (MTD) muss aufrüsten

Android-Security-Tools (z.B. Zimperium, Lookout) müssen LLM-gestützte Malware erkennen. Das erfordert:

• Traffic-Analyse: Erkennung von Gemini/OpenAI API-Calls aus verdächtigen Apps
• Accessibility-Hardening: Blockierung von Accessibility-Missbrauch

Investment-Implikationen: Wer profitiert?

Gewinner:

• CrowdStrike ($CRWD): Falcon Platform mit Behavioral AI — bereits stark in Endpoint-Detection, mobile Expansion läuft
• Palo Alto Networks ($PANW): Prisma Cloud für API-Security, kürzlich CyberArk übernommen ($25B) für Identity-Schutz
• Zscaler ($ZS): Zero Trust Network Access — blockiert malicious API-Traffic auf Netzwerk-Ebene
• Cloudflare ($NET): API Gateway + Bot Management — kann AI-gestützte API-Missbrauch-Pattern erkennen

Verlierer:

• Legacy AV-Anbieter: Signatur-basierte Tools (McAfee, Norton) sind strukturell benachteiligt gegen polymorphe AI-Malware Der Cybersecurity Leaders Fonds hält Positionen in CrowdStrike, Palo Alto Networks und Zscaler und profitiert vom strukturellen Wachstum im Endpoint- und API-Security-Markt.

Handlungsempfehlungen für Unternehmen

• Audit Ihrer API-Nutzung: Welche Mitarbeiter/Apps haben Zugang zu LLM-APIs? Sind diese Zugänge geloggt?
• Mobile Device Management (MDM) verschärfen: Accessibility-Services nur für vertrauenswürdige Apps zulassen
• EDR auf Mobile ausweiten: Falls Sie CrowdStrike/SentinelOne auf Endpoints nutzen, deployen Sie auch die Mobile-Varianten
• Incident-Response-Playbooks updaten: Fügen Sie „AI-gestützte Malware" als eigene Kategorie hinzu

Fazit: AI-Malware ist keine Zukunftsmusik mehr

PromptSpy beweist, dass Malware-Entwickler Generative AI nicht nur für Phishing nutzen, sondern in die Kern-Logik ihrer Tools integrieren. Das ist der erste bekannte Fall — aber sicher nicht der letzte. Die Cybersecurity-Industrie muss jetzt nachrüsten: Behavioral Analytics, API-Security und Mobile Threat Defense werden zur First Line of Defense. Unternehmen, die noch auf signaturbasierte Lösungen setzen, spielen ein gefährliches Spiel. Bottom Line: PromptSpy ist ein Warnsignal. Die Bedrohungslandschaft ändert sich fundamental — und wer nicht mitgeht, verliert.

Quellen

• ESET Research: „PromptSpy ushers in the era of Android threats using GenAI" (19.02.2026)
• BleepingComputer: „PromptSpy is the first known Android malware to use generative AI at runtime" (19.02.2026)
• Globe Newswire: „ESET Research discovers PromptSpy" (19.02.2026)
• The Hacker News: „PromptSpy Android Malware Abuses Gemini AI" (19.02.2026)
• Sophos 2025 Ransomware Report: Durchschnittliche Zahlungen $2,5M