In Deutschland sind Millionen Android-Geräte potenziell von einer neuen groß angelegten Malware-Kampagne betroffen. Sicherheitsanalysen zeigen, dass rund 1,8 Millionen Geräte Teil eines sogenannten Botnetzes waren, die eu-baustoffhandel.de berichtet mit chip.de.
Die infizierten Smartphones, Tablets und Set-Top-Boxen wurden unbemerkt für schädliche Aktivitäten missbraucht. Besonders problematisch ist, dass viele Nutzer keinerlei Hinweise auf die Kompromittierung ihrer Geräte bemerken. Cybersecurity-Experten sprechen von einer der größten bekannten Infektionswellen im Android-Umfeld.
Auffälliger Datenverkehr führte zur Entdeckung
Die Entdeckung des Botnetzes gelang durch ungewöhnliche Auswertungen von Cloudflare. Ende Oktober registrierten Analysten kurzfristig einen extremen Anstieg des Datenverkehrs, der sogar etablierte Plattformen überholte. Zunächst wirkte es wie ein Rekord an Webseitenbesuchen. Bei genauerer Analyse stellte sich jedoch heraus, dass der Traffic von einem zentralen Steuerungsserver ausging. Dieser koordinierte gleichzeitig mehr als 1,8 Millionen infizierte Android-Geräte.
Das identifizierte Netzwerk trägt den Namen Kimwolf und gilt derzeit als größtes Android-Botnetz seiner Art. Es weist strukturelle Ähnlichkeiten mit früheren Botnetzen auf, geht technisch jedoch deutlich weiter. Angreifer nutzten erweiterte Funktionen wie Proxy-Weiterleitungen zur Verschleierung ihrer Standorte. Zusätzlich kamen sogenannte Reverse Shells zum Einsatz, die direkten Zugriff auf infizierte Geräte erlauben. Dadurch konnten Dateien manipuliert, weitere Schadsoftware installiert oder Systeme fernbedient werden.
Welche Geräte besonders gefährdet sind
Nach Einschätzung von Sicherheitsexperten richtet sich Kimwolf gezielt gegen nicht zertifizierte Android-Geräte. Dazu zählen vor allem günstige Tablets, Streaming-Boxen und Set-Top-Boxen ohne Google Play Protect. Diese Geräte verfügen oft nicht über regelmäßige Sicherheitsupdates oder integrierte Schutzmechanismen. Die Infektion erfolgt häufig über manipulierte APK-Dateien aus unsicheren Quellen. Nutzer bemerken den Angriff meist erst, wenn ungewöhnliche Netzwerkaktivitäten auftreten.
Die kompromittierten Android-Geräte werden für verschiedene kriminelle Zwecke eingesetzt. Dazu zählen massive DDoS-Angriffe auf fremde Server sowie die Umleitung von Internetverkehr. Außerdem ermöglicht das Botnetz das Umgehen von Geo-Sperren und IP-Blacklists. Für die betroffenen Nutzer bedeutet dies nicht nur ein Sicherheitsrisiko, sondern auch eine mögliche Haftung bei missbräuchlicher Nutzung ihrer Internetverbindung. Gleichzeitig leidet die Leistung der Geräte spürbar.
So erkennen Nutzer eine mögliche Infektion
Eine Infektion mit Malware bleibt oft lange unentdeckt. Warnzeichen können ungewöhnlich hoher Datenverbrauch oder verlangsamte Systemleistung sein. Auch Geräte, die sich selbstständig neu starten oder Apps installieren, sollten Nutzer misstrauisch machen. Besonders bei günstigen Android-Geräten ohne Zertifizierung ist Vorsicht geboten. Regelmäßige Sicherheitsprüfungen können helfen, Auffälligkeiten frühzeitig zu erkennen.
Um sich vor Malware und Botnetzen zu schützen, empfehlen Experten mehrere grundlegende Schritte. Nutzer sollten ausschließlich Apps aus offiziellen Stores installieren und auf das Sideloading von APK-Dateien verzichten. Geräte sollten regelmäßig aktualisiert werden, sofern Sicherheitsupdates verfügbar sind. Wichtig ist zudem die Nutzung zertifizierter Hardware mit aktivem Sicherheitsschutz. Moderne Router mit integrierter Sicherheitssoftware können zusätzlich den gesamten Netzwerkverkehr überwachen.
Was tun bei einem infizierten Gerät
Wer ein nicht zertifiziertes oder besonders günstiges Android-Gerät nutzt, sollte bei Verdacht sofort handeln. Der Einsatz spezieller Sicherheitssoftware kann helfen, das System zu scannen und Schadprogramme zu entfernen. In einigen Fällen ist ein Zurücksetzen auf Werkseinstellungen sinnvoll, sofern dies technisch möglich ist. Langfristig raten Experten jedoch zum Umstieg auf zertifizierte Geräte mit vollem Sicherheitsumfang. Nur so lässt sich das Risiko künftiger Angriffe nachhaltig reduzieren.
Der Fall Kimwolf zeigt, wie stark auch Deutschland von globalen Cyber-Bedrohungen betroffen ist. Millionen infizierter Geräte stellen nicht nur für einzelne Nutzer, sondern für die gesamte digitale Infrastruktur ein Risiko dar. Mit zunehmender Verbreitung günstiger, schlecht geschützter Hardware wächst die Angriffsfläche weiter. Experten fordern daher mehr Aufklärung und strengere Sicherheitsstandards. Für Nutzer bleibt Wachsamkeit der wichtigste Schutz.