So entfernen Sie PromptSpy von infizierten Geräten

Was für eine Art von Malware ist PromptSpy?

PromptSpy ist eine Android-Malware, die generative KI nutzt, um sich im System zu verankern. Sie nutzt Google Gemini, um zu analysieren, was auf dem Bildschirm des infizierten Geräts angezeigt wird, und um zu ermitteln, wie sie in der Liste der zuletzt verwendeten Apps aktiv bleiben kann. Auf diese Weise kann die Malware im Hintergrund weiterlaufen. Ihr Hauptziel ist die Installation eines VNC-Clients, der es Angreifern ermöglicht, den Bildschirm einzusehen und das Gerät aus der Ferne zu steuern.

PromptSpy im Detail

PromptSpy enthält einen Dropper und eine Nutzlast, die Google Gemini missbraucht. Es nutzt Google Gemini, um mit dem Bildschirm des Telefons zu interagieren. Anstatt feste Skripte zu verwenden, die auf verschiedenen Geräten fehlschlagen könnten, sendet es Gemini Informationen darüber, was gerade auf dem Bildschirm angezeigt wird. Gemini analysiert die Bildschirmelemente und gibt Anweisungen zurück, wo getippt oder welche Aktion ausgeführt werden soll. Dies hilft der Malware, aktiv zu bleiben, indem sie sich in der Liste der zuletzt verwendeten Apps hält, selbst wenn der Nutzer versucht, sie zu schließen.

Darüber hinaus enthält PromptSpy ein VNC-Tool, das Angreifern die vollständige Fernsteuerung eines infizierten Telefons ermöglicht, sobald das Opfer die Eingabehilfen aktiviert hat. Dadurch können Angreifer den Bildschirm einsehen und Aktionen wie Tippen, Wischen, Gesten und Eingaben ausführen.

PromptSpy nutzt KI, um seine App in der Liste der zuletzt verwendeten Apps anzuheften. Dadurch bleibt die Malware im Hintergrund aktiv und kann nicht ohne Weiteres geschlossen werden. Diese Funktion wird wahrscheinlich eingesetzt, bevor Cyberkriminelle die Fernsteuerungssitzung starten. Auf diese Weise bleibt die App aktiv, und es ist weniger wahrscheinlich, dass das System oder das Opfer sie beendet.

Zudem missbraucht PromptSpy die Barrierefreiheitsdienste, um Nutzer daran zu hindern, die App zu entfernen. Wenn das Opfer versucht, die App zu deinstallieren oder die Barrierefreiheitsdienste zu deaktivieren, blendet die Malware unsichtbare Überlagerungen über Schaltflächen wie „Beenden“, „Löschen“ oder „Deinstallieren“ ein. Diese versteckten Überlagerungen blockieren die Berührungen des Opfers und verhindern so, dass die Schaltflächen gedrückt werden können.

Sobald die Malware eine Verbindung zu einem entfernten C&C-Server hergestellt hat, kann sie Anweisungen empfangen, die es ihr ermöglichen, Informationen wie installierte und aktive Apps zu erfassen, Screenshots zu machen, den Bildschirm aufzuzeichnen und Details vom Sperrbildschirm zu sammeln. Außerdem kann sie das Muster zur Entsperrung des Bildschirms aufzeichnen und erkennen, ob das Display eingeschaltet ist.

Fazit

PromptSpy ist ein Beispiel dafür, wie Cyberkriminelle begonnen haben, KI-Tools wie Google Gemini einzusetzen, um Malware leistungsfähiger und schwerer zu stoppen zu machen. Durch die Kombination von KI-gestützter Bildschirminteraktion mit Fernsteuerungsfunktionen können Angreifer die Malware aktiv halten und infizierte Geräte einfacher verwalten.

Weitere Beispiele für Malware, die auf Android-Geräte abzielt, sind Oblivion RAT, ZeroDayRAT und Arsink.

Wie hat sich PromptSpy auf mein Gerät eingeschleust?

Cyberkriminelle verbreiten PromptSpy über betrügerische Websites, die seriöse Bankseiten imitieren. Die Seiten verwenden das Branding und die Texte der Banken, um seriös zu wirken. Auf diesen Seiten werden bösartige Android-Apps bereitgestellt, die sich als offizielle Bank-Apps ausgeben. Wenn ein Opfer eine solche App installiert, fungiert diese als Dropper, um die Malware zu installieren.

Das Opfer wird aufgefordert, die Installation aus unbekannten Quellen zuzulassen, was Android aus Sicherheitsgründen normalerweise blockiert. Nach Erteilung der Berechtigung kontaktiert der Dropper einen Remote-Server und ruft eine Konfigurationsdatei ab, die einen Link zum Herunterladen der PromptSpy-Payload enthält.

Die Schadsoftware wird als weitere APK-Datei heruntergeladen und als gefälschtes Update angezeigt. Nach der Installation fordert sie Berechtigungen für die Barrierefreiheitsdienste an und installiert ihre schädlichen Komponenten, darunter das VNC-Modul zur Fernsteuerung.

Wie vermeidet man die Installation von Malware?

Achten Sie darauf, dass Ihr Betriebssystem und Ihre Apps immer auf dem neuesten Stand sind, und laden Sie Software nur von offiziellen Websites oder vertrauenswürdigen App-Stores herunter. Klicken Sie nicht auf verdächtige Anzeigen, Pop-ups oder Links auf zweifelhaften Websites und lehnen Sie Benachrichtigungsanfragen von solchen Websites ab.

Seien Sie vorsichtig bei unerwarteten E-Mails oder Nachrichten – öffnen Sie keine darin enthaltenen Links oder Anhänge, es sei denn, Sie sind sich sicher, dass diese nicht schädlich sind. Verwenden Sie seriöse Sicherheitssoftware, um regelmäßige Scans durchzuführen, mit denen potenzielle Bedrohungen erkannt und entfernt werden können.

PromptSpy fordert das Opfer auf, die Barrierefreiheitsdienste zu aktivieren (Quelle: welivesecurity.com):

Schnellmenü:

• Einleitung
• Wie löscht man den Browserverlauf im Chrome-Webbrowser?
• Wie deaktiviere ich Benachrichtigungen im Chrome-Webbrowser?
• Wie setzt man den Chrome-Webbrowser zurück?
• Wie löscht man den Browserverlauf im Firefox-Webbrowser?
• Wie deaktiviere ich Benachrichtigungen im Firefox-Webbrowser?
• Wie setzt man den Firefox-Webbrowser zurück?
• Wie deinstalliert man potenziell unerwünschte und/oder schädliche Anwendungen?
• Wie starte ich das Android-Gerät im „abgesicherten Modus“?
• Wie kann man den Akkuverbrauch verschiedener Anwendungen überprüfen?
• Wie kann man die Datennutzung verschiedener Apps überprüfen?
• Wie installiere ich die neuesten Software-Updates?
• Wie setzt man das System auf die Werkseinstellungen zurück?
• Wie deaktiviere ich Anwendungen mit Administratorrechten?

Browserverlauf im Chrome-Webbrowser löschen:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Verlauf“ aus.

Tippen Sie auf „Browsingdaten löschen“, wählen Sie die Registerkarte „ERWEITERT“, wählen Sie den Zeitbereich und die Datentypen aus, die Sie löschen möchten, und tippen Sie auf „Daten löschen“.

[Zurück zum Inhaltsverzeichnis]

Browser-Benachrichtigungen im Chrome-Webbrowser deaktivieren:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Einstellungen“ aus.

Scrolle nach unten, bis du die Option „Website-Einstellungen“ siehst, und tippe darauf. Scrolle weiter nach unten, bis du die Option „Benachrichtigungen“ siehst, und tippe darauf.

Suchen Sie die Websites, die Browser-Benachrichtigungen senden, tippen Sie darauf und klicken Sie auf „Löschen & zurücksetzen“. Dadurch werden die Berechtigungen entzogen, die diesen Websites zum Senden von Benachrichtigungen erteilt wurden. Wenn Sie dieselbe Website jedoch erneut besuchen, wird möglicherweise erneut um eine Berechtigung gebeten. Sie können entscheiden, ob Sie diese Berechtigungen erteilen möchten oder nicht (wenn Sie die Berechtigung verweigern, wird die Website in den Bereich „Blockiert“ verschoben und fragt Sie nicht mehr danach).

[Zurück zum Inhaltsverzeichnis]

Chrome-Webbrowser zurücksetzen:

Gehe zu „Einstellungen“, scrolle nach unten, bis du „Apps“ siehst, und tippe darauf.

Scrolle nach unten, bis du die Anwendung „Chrome“ findest, wähle sie aus und tippe auf die Option „Speicher“.

Tippen Sie auf „SPEICHER VERWALTEN“, dann auf „ALLE DATEN LÖSCHEN“ und bestätigen Sie den Vorgang durch Tippen auf „OK“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich auf allen Websites erneut anmelden.

[Zurück zum Inhaltsverzeichnis]

Browserverlauf im Firefox-Webbrowser löschen:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Verlauf“ aus.

Scrolle nach unten, bis du „Private Daten löschen“ siehst, und tippe darauf. Wähle die Datentypen aus, die du löschen möchtest, und tippe auf „DATEN LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Browser-Benachrichtigungen im Firefox-Webbrowser deaktivieren:

Rufen Sie die Website auf, die Browser-Benachrichtigungen sendet, tippen Sie auf das Symbol links neben der Adressleiste (das Symbol muss nicht unbedingt ein „Schloss“ sein) und wählen Sie „Website-Einstellungen bearbeiten“.

Wähle im sich öffnenden Popup-Fenster die Option „Benachrichtigungen“ aus und tippe auf „LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Den Firefox-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrolle nach unten, bis du die Anwendung „Firefox“ findest, wähle sie aus und tippe auf die Option „Speicher“.

Tippen Sie auf „DATEN LÖSCHEN“ und bestätigen Sie den Vorgang durch Tippen auf „LÖSCHEN“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich auf allen Websites erneut anmelden.

[Zurück zum Inhaltsverzeichnis]

Entfernen Sie potenziell unerwünschte und/oder schädliche Anwendungen:

Gehe zu „Einstellungen“, scrolle nach unten, bis du „Apps“ siehst, und tippe darauf.

Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder schädliche Anwendung sehen, wählen Sie diese aus und tippen Sie auf „Deinstallieren“. Wenn Sie die ausgewählte App aus irgendeinem Grund nicht entfernen können (z. B. weil eine Fehlermeldung angezeigt wird), sollten Sie es im „abgesicherten Modus“ versuchen.

[Zurück zum Inhaltsverzeichnis]

Starten Sie das Android-Gerät im „abgesicherten Modus“:

Der „Abgesicherter Modus“ im Android-Betriebssystem deaktiviert vorübergehend die Ausführung aller Anwendungen von Drittanbietern. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu beheben (z. B. das Entfernen schädlicher Anwendungen, die dies verhindern, wenn das Gerät im „normalen“ Modus läuft).

Drücken Sie die Taste „Ein/Aus“ und halten Sie sie gedrückt, bis der Bildschirm „Ausschalten“ angezeigt wird. Tippen Sie auf das Symbol „Ausschalten“ und halten Sie es gedrückt. Nach einigen Sekunden erscheint die Option „Abgesicherter Modus“, die Sie durch einen Neustart des Geräts aktivieren können.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Gerätewartung“ sehen, und tippen Sie darauf.

Tippen Sie auf „Akku“ und überprüfen Sie den Verbrauch der einzelnen Anwendungen. Seriöse Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um ein optimales Benutzererlebnis zu bieten und Strom zu sparen. Ein hoher Akkuverbrauch kann daher darauf hindeuten, dass es sich um eine schädliche Anwendung handelt.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie die Datennutzung verschiedener Anwendungen:

Gehe zu „Einstellungen“, scrolle nach unten, bis du „Verbindungen“ siehst, und tippe darauf.

Scrollen Sie nach unten, bis Sie „Datennutzung“ sehen, und wählen Sie diese Option aus. Wie beim Akku sind seriöse/echte Anwendungen so konzipiert, dass sie den Datenverbrauch so weit wie möglich minimieren. Das bedeutet, dass ein sehr hoher Datenverbrauch auf das Vorhandensein einer schädlichen Anwendung hindeuten kann. Beachten Sie, dass manche schädliche Anwendungen so konzipiert sein können, dass sie nur dann aktiv sind, wenn das Gerät mit einem WLAN-Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die WLAN-Datennutzung überprüfen.

Wenn Sie eine App finden, die viel Datenvolumen verbraucht, obwohl Sie sie nie nutzen, empfehlen wir Ihnen dringend, sie so schnell wie möglich zu deinstallieren.

[Zurück zum Inhaltsverzeichnis]

Installieren Sie die neuesten Software-Updates:

Die Software auf dem neuesten Stand zu halten, ist eine bewährte Vorgehensweise, wenn es um die Sicherheit Ihres Geräts geht. Die Gerätehersteller veröffentlichen regelmäßig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Schwachstellen zu beheben, die von Cyberkriminellen ausgenutzt werden könnten. Ein veraltetes System ist wesentlich anfälliger, weshalb Sie stets darauf achten sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Software-Update“ sehen, und tippen Sie darauf.

Tippen Sie auf „Updates manuell herunterladen“ und prüfen Sie, ob Updates verfügbar sind. Falls ja, installieren Sie diese sofort. Wir empfehlen außerdem, die Option „Updates automatisch herunterladen“ zu aktivieren – dadurch wird das System Sie benachrichtigen, sobald ein Update veröffentlicht wird, und/oder es automatisch installieren.

[Zurück zum Inhaltsverzeichnis]

Setzen Sie das System auf die Werkseinstellungen zurück:

Ein „Werkseinstellungen zurücksetzen“ ist eine gute Möglichkeit, alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardeinstellungen zurückzusetzen und das Gerät insgesamt zu bereinigen. Du musst jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video- und Audiodateien, Telefonnummern (die auf dem Gerät gespeichert sind, nicht auf der SIM-Karte), SMS-Nachrichten und so weiter. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.

Sie können auch die grundlegenden Systemeinstellungen und/oder lediglich die Netzwerkeinstellungen wiederherstellen.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Über das Telefon“ sehen, und tippen Sie darauf.

Scrolle nach unten, bis du „Zurücksetzen“ siehst, und tippe darauf. Wähle nun die gewünschte Aktion aus:
"Einstellungen zurücksetzen“ – alle Systemeinstellungen auf die Standardeinstellungen zurücksetzen;
“Netzwerkeinstellungen zurücksetzen“ – alle netzwerkbezogenen Einstellungen auf die Standardeinstellungen zurücksetzen;
“Auf Werkseinstellungen zurücksetzen“ – das gesamte System zurücksetzen und alle gespeicherten Daten vollständig löschen;

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Anwendungen mit Administratorrechten:

Wenn eine schädliche Anwendung Administratorrechte erhält, kann dies das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie stets überprüfen, welche Apps über solche Rechte verfügen, und diejenigen deaktivieren, die diese nicht benötigen.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Sperrbildschirm und Sicherheit“ sehen, und tippen Sie darauf.

Scrolle nach unten, bis du „Weitere Sicherheitseinstellungen“ siehst, tippe darauf und tippe dann auf „Geräteadministrator-Apps“.

Ermitteln Sie die Anwendungen, die keine Administratorrechte haben sollten, tippen Sie darauf und tippen Sie anschließend auf „DEAKTIVIEREN“.

Häufig gestellte Fragen (FAQ)

Mein Gerät ist mit der Malware „PromptSpy“ infiziert. Sollte ich mein Speichermedium formatieren, um sie zu entfernen?

Durch diesen Schritt wird PromptSpy entfernt, allerdings werden dabei auch alle Daten gelöscht; daher sollte diese Option nur als letzter Ausweg in Betracht gezogen werden. Es empfiehlt sich, zunächst einen vollständigen Scan mit einer zuverlässigen Sicherheitssoftware wie Combo Cleaner durchzuführen.

Was sind die größten Probleme, die durch Malware verursacht werden können?

Malware kann auf Ihre persönlichen Daten zugreifen, Angreifern die Fernsteuerung Ihres Geräts ermöglichen, Dateien beschädigen (z. B. verschlüsseln) oder löschen, weitere schädliche Apps installieren, die Systemgeschwindigkeit beeinträchtigen, Abstürze verursachen und andere schädliche Aktivitäten ausführen.

Was ist der Zweck von PromptSpy?

Der Zweck von PromptSpy besteht darin, Angreifern die Fernsteuerung eines infizierten Android-Geräts zu ermöglichen, während die Software selbst verborgen und dauerhaft auf dem Gerät verbleibt. Außerdem sammelt sie sensible Daten vom Gerät und verhindert, dass Nutzer sie einfach entfernen können.

Wie hat sich PromptSpy auf mein Gerät eingeschleust?

PromptSpy verbreitet sich über gefälschte Banking-Websites, auf denen schädliche Android-Apps bereitgestellt werden. Wenn ein Opfer die App installiert und Downloads aus unbekannten Quellen zulässt, wird die PromptSpy-Payload als gefälschtes Update heruntergeladen. Die Malware fordert daraufhin Zugriff auf die Barrierefreiheitsdienste an und installiert Komponenten wie das VNC-Modul zur Fernsteuerung.

Schützt mich Combo Cleaner vor Malware?

Ja, Combo Cleaner kann die meisten bekannten Schadprogramme erkennen und entfernen. Da sich komplexe Bedrohungen tief im System verstecken können, wird empfohlen, einen vollständigen Scan durchzuführen, um sicherzustellen, dass alle schädlichen Komponenten erkannt und entfernt werden.