Steigender Android Mobile Adware im Läufe vom zweite Semester 2025
Im Jahr 2025 sind Android-Nutzer so gefährdet wie nie zuvor. Maleware, datenklauende Apps und SMS-Betrugsversuche haben stark zugenommen, während die Angreifer ihre Geschäftsmodelle rund um mobile Daten und Zugriffe immer weiter optimiert haben. Rückblickend gesehen, könnte 2025 als das Jahr gelten, in dem einmalige Betrügereien durch koordinierte und gut strukturierte Angriffssysteme ersetzt wurden.
Ein Vergleich zweier gleichwertiger Zeitspannen – von Dezember 2024 bis Mai 2025 und von Juni bis November 2025 – zeigt, dass die Erkennungen von Android-Adware nahezu doppelt so hoch sind (mit einem Anstieg von 90%), während die Erkennungen von potenziell unerwünschten Programmen (PUPs) um etwa zwei Drittel zugenommen haben und die Malware-Erkennungen um rund 20%.
Die deutliche Zunahme der SMS-basierten Angriffe, die wir bereits im Juni festgestellt haben, deutet darauf hin, dass 2025 das Jahr der Effizienz ist. Die Fähigkeiten, Einmalpasswörter zu stehlen, sind längst keine Experimente mehr; sie werden nun in grossen Kampagnen eingesetzt.
Der Übergang von Belästigungen zu ernsthaften Verbrechen
Wenn wir das Jahr 2024 insgesamt betrachten, machen Malware und PUPs fast 90% der Android-Erkennungen aus, wobei die Malware auf etwa 43% und die potenziell unerwünschten Programme (PUPs) auf 45% steigen, während die Adware auf rund 12% sinkt.
Diese Mischung erzählt eine wichtige Geschichte: Die Angreifer investieren weniger Zeit in lästige Apps und mehr in Werkzeuge, die Daten im Hintergrund sammeln, Nachrichten abfangen oder den kompletten Zugriff auf Konten ermöglichen können.
Das bedeutet jedoch nicht, dass die Zahlen von Adware und PUPs zurĂĽckgegangen sind.
Shahak Shalev, Leiter der AI- und Betrugsforschung bei Malwarebytes, weist darauf hin:
„Die Feiertage haben gerade begonnen, aber Cyberkriminelle haben bereits monatelang die Grundlagen fĂĽr erfolgreiche Android-Malware-Kampagnen gelegt. In der zweiten Hälfte von 2025 haben wir eine klare Eskalation mobiler Bedrohungen beobachtet. Die Mengen an Adware sind nahezu doppelt so hoch, vorangetrieben durch aggressive Familien wie MobiDash, während die Erkennungen von PUPs angestiegen sind, was darauf hindeutet, dass die Angreifer mit neuen Verbreitungsmechanismen experimentieren.»
Für viele Jahre war Android/Adware.MobiDash eine der häufigsten unerwünschten Apps auf Android. MobiDash präsentiert sich als ein SDK für Adware, das Entwickler (oder Repackager) in reguläre Apps integrieren, um Benutzer nach kurzer Zeit mit Pop-ups zu überfluten. Auch 2025 taucht es nach wie vor in unseren Statistiken monatlich auf, mit Tausenden von Erkennungen nur in der MobiDash-Familie.
So sind Bedrohungen wie MobiDash alles andere als verschwunden, doch sie werden zunehmend zur Nebensache im Vergleich zu ernsthafteren Bedrohungen, die jetzt hervortreten.
Im gleichen Zeitraum von Dezember bis Mai und von Juni bis November sind die Erkennungen von Adware nahezu doppelt so hoch, die Erkennungen von PUPs sind um etwa 75% gestiegen und die Malware-Erkennungen um rund 20%.
In der Adware-Gruppe hat MobiDash allein ihr monatliches Erkennungsvolumen zwischen Anfang und Ende 2025 um über 100% gesteigert, während Adware insgesamt nach wie vor nur einen kleinen Teil der Android-Bedrohungen ausmacht. In den letzten drei Monaten haben wir gemessen, dass die Aktivitäten von MobiDash um etwa 77% angestiegen sind, mit kontinuierlichen Erkennungen von September bis November.
Ein organisierter Zugang
Anstatt sich auf die Bereitstellung eines einzigen Bedrohungselements zu verlassen, haben wir festgestellt, dass Cyberkriminelle Komponenten wie Droppers, Spionagemodule und Bankenzahlungen in flexible Werkzeuge kombinieren, die je nach Kampagne gemischt und angepasst werden können.
Das Besorgniserregende an diesem Wandel ist die Vielzahl an Informationen, die heutzutage gesammelt werden. Neben Anrufprotokollen und Standorten sind viele Proben darauf ausgelegt, Messaging-Apps, Browseraktivitäten und finanzielle Interaktionen zu überwachen, was detaillierte Verhaltensprofile schafft, die in verschiedenen Betrugsmodellen wiederverwendet werden können. Solange diese Daten auf dem Schwarzmarkt monetarisierbar bleiben, wird der Anreiz, diese Überwachungssysteme aufrechtzuerhalten, nur zunehmen.
Wie der ThreatDown 2025 State of Malware-Bericht feststellt:
„Ähnlich wie Phishing-E-Mails tricksen Phishing-Apps die Benutzer dazu, ihre Benutzernamen, Passwörter und Zwei-Faktor-Authentifizierungscodes preiszugeben. Gestohlene Zugangsdaten können verkauft oder von Cyberkriminellen verwendet werden, um wertvolle Informationen zu stehlen und auf eingeschränkte Ressourcen zuzugreifen.»
Prädatorische Finanz-Apps wie SpyLoan und Albiriox verwenden in der Regel Social Engineering (manchmal unterstützt durch KI) und versprechen schnelle Bargeldsummen, zinsgünstige Kredite und minimale Prüfungen. Nach der Installation sammeln sie Kontakte, Nachrichten und Gerätekennungen, die dann für Belästigungen, Erpressung oder plattformübergreifenden Identitätsmissbrauch genutzt werden können. In Kombination mit dem Zugang zu SMS und Benachrichtigungen ermöglicht dies den Betreibern, die Opfer in ihrem Umgang mit echten Schulden, Bankguthaben und privaten Gesprächen zu beobachten.
Ein klares Beispiel für diesen organisierteren Ansatz ist Triada, ein langjähriger Remote Access Trojan (RAT) für Android. In unseren Daten von Dezember 2024 bis Mai 2025 zeigte Triada relativ niedrige, aber anhaltende Erkennungsraten. In der Periode von Juni bis November stiegen die Erkennungen dann mehr als doppelt so hoch, mit einem deutlichen Anstieg gegen Ende des Jahres.
Die Rolle von Triada besteht darin, den Angreifern einen beständigen Zugang zum Gerät zu gewähren: Nach der Installation kann es helfen, zusätzliche Payloads herunterzuladen oder zu starten, Apps zu manipulieren und Betrug auf dem Gerät zu unterstützen – genau das, was solch langfristiges „Infrastruktur“-Verhalten ausmacht, dass einmalige Infektionen in laufende Operationen übergehen.
Die Zunahme einer so etablierten Bedrohung wie Triada im selben Zeitraum wie neuere Banking-Malware unterstreicht, dass 2025 das Jahr ist, in dem lange bewährte mobile Tools und frische Betrugsschemata zeitgleich für die Angreifer von Nutzen sind.
Wenn Droppers, Informationsdiebe und Smishing die Grundlage bilden, dann können Banking-Trojaner als die Kasse am Ende des Trichters betrachtet werden. Zugriffsprobleme, Betrug auf dem Gerät und Live-Streaming des Bildschirms ermöglichen es, Transaktionen innerhalb der eigenen Bankensitzung des Opfers durchzuführen und nicht auf einer geklonten Webseite. Dieser Ansatz umgeht viele Abwehrmaßnahmen, wie z.B. Gerätesignierung und einige Formen der Multi-Faktor-Authentifizierung (MFA). Diese Änderungen zeigen sich im breiteren Trend unserer Statistiken, wobei mehr Erkennungen auf geschichtete, end-to-end Betrugssysteme hinweisen.
Im Vergleich zur Basislinie von 2024, wo Phishing-fähige Android-Apps und OTP-Diebe nur einen kleinen Teil aller Android-Erkennungen ausmachten, zeigt die Datenlage von 2025, dass ihr Anteil in einigen Monaten um viele Prozentpunkte gestiegen ist, insbesondere in den Haupt
✍️ Autor: DriverRepair