Nach Angaben der Sicherheitssoftware-Schmiede ESET haben die Angreifer eine Android-Malware entdeckt, die sich als Banking-App tarnt und unter dem Namen „MorganArg“ verbreitet wird. Es ist eine Fälschung der Chase-/JPMorgan-App. Eigentlich ist es die Schadsoftware PromptSpy. Die Verteilung läuft demnach nicht über offizielle App-Stores, sondern über gefälschte Webseiten. Die bisher beobachtete Kampagne richtet sich vor allem gegen Nutzer in Argentinien; die eingesetzte Technik wäre aber grundsätzlich überall nutzbar.
Warum die KI hier mehr ist als ein Schlagwort
Ist die App installiert und aktiv, soll sie das Smartphone weitgehend unter Kontrolle bringen. ESET beschreibt unter anderem einen Live-Einblick in den Bildschirm, das Auslesen von Eingaben, das Abfangen des Sperrcodes und das Ausführen von Aktionen aus der Ferne. Praktisch heißt das: Angreifer können sich so verhalten, als hätten sie dein Gerät selbst in der Hand – inklusive Zugriff auf Apps, Nachrichten und potenziell auch Bankfunktionen.
Der entscheidende Punkt ist laut ESET nicht nur der Fernzugriff, sondern die Art, wie sich die Schadsoftware im System „festbeißt“. Statt mit festen, vorprogrammierten Klickfolgen zu arbeiten, soll PromptSpy den aktuellen Bildschirminhalt an Googles KI-Modell Gemini übergeben. Gemini analysiert die Oberfläche dann wie ein Mensch und liefert Schritt-für-Schritt-Anweisungen, welche Schaltfläche gedrückt werden muss, damit die App nicht geschlossen wird und aktiv bleibt.
ESET-Forscher Lukas Stefanko beschreibt das Prinzip so: Die Malware lässt sich von der KI erklären, was als Nächstes zu tun ist. Der Vorteil für Kriminelle liegt auf der Hand: Wenn die Anweisungen aus dem aktuellen Bildschirm abgeleitet werden, muss der Schadcode weniger genau an einzelne Hersteller-Oberflächen oder Android-Versionen angepasst werden. ESET verweist in diesem Zusammenhang auch auf einen früheren Fund: Bereits im August 2025 wurde mit „PromptLock“ eine KI-gestützte Ransomware beschrieben. PromptSpy wäre damit der nächste Schritt in Richtung „anpassungsfähiger“ Malware.
Woran du die Gefahr im Alltag eher erkennst
Die Tarnung als Banking-App zielt auf einen typischen Reflex: schnelle Installation, schnelles Einloggen, schnelle Freigaben. Besonders kritisch wird es, wenn eine App Berechtigungen für Bedienungshilfen („Accessibility“) verlangt. Diese Funktionen sind eigentlich für Unterstützung im Alltag gedacht, erlauben aber sehr weitreichende Eingriffe. Sie werden laut ESET regelmäßig von Android-Schadsoftware missbraucht.
ESET nennt außerdem einen konkreten Trick, der das Entfernen erschweren soll: Unsichtbare Elemente können Schaltflächen blockieren. Das passt zu dem Ziel, das Opfer im Zweifel daran zu hindern, die App zu stoppen oder zu deinstallieren.
Der wichtigste Schutz bleibt banal, aber wirksam: Installiere Apps nur aus offiziellen Quellen wie Google Play. Lade keine vermeintlichen Banking-Apps von „Sonderseiten“ herunter. Auch dann nicht, wenn sie optisch professionell wirken. Wenn du den Verdacht hast, dass dein Gerät kompromittiert ist, empfiehlt ESET den Neustart im abgesicherten Modus. In diesem Zustand sind viele Apps nicht aktiv, wodurch sich schädliche Anwendungen eher entfernen lassen. Zusätzlich gilt: Ist Google Play Protect aktiviert, sollen Android-Geräte gegen bekannte Versionen der beschriebenen Schadsoftware geschützt sein.
Mit diesen Symbolen kennzeichnen wir Partner-Links. Wenn du so einen Link oder Button anklickst oder darüber einkaufst, erhalten wir eine kleine Vergütung vom jeweiligen Website-Betreiber. Auf den Preis eines Kaufs hat das keine Auswirkung. Du hilfst uns aber, inside digital weiterhin kostenlos anbieten zu können. Vielen Dank! Preisangaben basieren auf dem Zeitpunkt der Veröffentlichung dieses Artikels und können Schwankungen unterliegen.