Android-Geräte: Neue "Pixnapping"-Attacke stiehlt 2FA-Codes
Hardware-Schwachstelle GPU.zip im Fokus
Eine hochentwickelte Cyberattacke namens “Pixnapping” bedroht Millionen von Android-Nutzern weltweit. Die diese Woche von Sicherheitsforschern entdeckte Schwachstelle kann sensible Bildschirminhalte abgreifen – darunter Zwei-Faktor-Authentifizierungscodes und private Nachrichten. Besonders alarmierend: Der Angriff nutzt eine Hardware-Schwachstelle im Grafikprozessor und umgeht dabei grundlegende Android-Sicherheitsmechanismen.
Was macht diesen Angriff so gefährlich? Anders als herkömmliche Malware benötigt Pixnapping keine besonderen Berechtigungen vom Nutzer. Eine bösartige App kann heimlich Pixel-Daten aus anderen Anwendungen und Websites abfangen. In Tests auf modernen Geräten wie dem Google Pixel und der Samsung Galaxy-Serie gelang es Forschern, 2FA-Codes aus Google Authenticator in unter 30 Sekunden zu extrahieren – zusammen mit Daten aus Apps wie Signal, Venmo und Gmail.
Die als CVE-2025-48561 katalogisierte Pixnapping-Schwachstelle ist kein gewöhnlicher Software-Fehler. Stattdessen nutzt sie einen Hardware-Seitenkanal namens “GPU.zip”, der Informationen über die Art preisgeben kann, wie der Grafikprozessor visuelle Daten komprimiert und verarbeitet.
Wie funktioniert der Angriff konkret? Eine bösartige App schleust Pixel in die Rendering-Pipeline ein und misst anschließend die Verarbeitungszeit der GPU. Da moderne Grafikprozessoren Datenkompression verwenden, lassen sich aus diesen Renderzeiten die ursprünglichen Pixelwerte ableiten – die App kann somit rekonstruieren, was gerade auf dem Bildschirm angezeigt wird.
Google hat die als hochgradig eingestufte Schwachstelle bereits anerkannt und einen ersten Patch im September-Sicherheitsbulletin veröffentlicht. Ein zusätzlicher Fix ist für das Dezember-Update geplant. Laut einem Unternehmenssprecher gebe es bislang keine Hinweise auf eine Ausnutzung in der Praxis, und die Erkennungsmechanismen des Google Play Stores hätten keine Apps mit dieser Technik identifiziert.
Anzeige: Während Google Patches nachliefert, bleibt der beste Schutz, Ihr Android konsequent abzusichern. Viele Nutzer übersehen die 5 wichtigsten Sicherheitsmaßnahmen – dabei lassen sich WhatsApp, Online‑Banking und 2FA‑Apps mit wenigen Einstellungen deutlich besser schützen. Ein kostenloser Ratgeber erklärt die Schritte verständlich, ganz ohne teure Zusatz‑Apps, inklusive Checklisten für geprüfte Apps, automatische Prüfungen und wichtige Updates. Jetzt kostenloses Android‑Sicherheitspaket herunterladen
Neue Android-Malware-Kampagnen im Überblick
Während Pixnapping eine neue Bedrohungsdimension eröffnet, entwickeln sich auch konventionelle Malware-Formen weiter. Aktuelle Geheimdienstberichte identifizieren mehrere hochentwickelte Spyware- und RAT-Kampagnen (Remote Access Trojan).
“ClayRat” zielt auf russische Nutzer ab und verbreitet bösartige Apps, die beliebte Dienste wie WhatsApp und YouTube imitieren. Diese Spyware kann Nachrichten, Anrufprotokolle und Fotos stehlen und verbreitet sich sogar selbstständig durch SMS-Nachrichten an die Kontakte des Opfers.
Die “GhostBat RAT”-Kampagne erlebt derzeit eine Wiederbelebung und richtet sich gegen indische Nutzer. Sie tarnt sich als offizielle Regional Transport Office (RTO)-Anwendungen und verbreitet sich über WhatsApp und SMS. Die Malware nutzt Phishing-Seiten, um Banking-Zugangsdaten und UPI-PINs zu stehlen.
Googles Gegenmaßnahmen: Monatliche Updates verstärkt
Als Reaktion auf die ständige Bedrohungslage verstärkt Google kontinuierlich das Android-Ökosystem mit regelmäßigen Aktualisierungen. Das Google System Update vom Oktober 2025 brachte mehrere wichtige Sicherheits- und Datenschutzverbesserungen.
Neue Features umfassen: Die Möglichkeit für Nutzer, reCAPTCHA-Web-Verifizierungen direkt auf ihren Telefonen abzuschließen, sowie erweiterte Kontrolle über gespeicherte Passkeys im Google Password Manager.
Diese Systemupdates werden durch das monatliche Android-Sicherheitsbulletin ergänzt, das Dutzende von Schwachstellen im Betriebssystem und seinen Komponenten behebt. Allein das Oktober-2025-Bulletin liefert Patches für Schwachstellen im Android-Framework, System und herstellerspezifischen Hardware-Komponenten.
Die neue Dimension: Hardware-Exploitation
Der Pixnapping-Angriff markiert einen kritischen Wandel in der mobilen Bedrohungslandschaft. Warum ist das so bedeutsam? Angreifer konzentrieren sich zunehmend auf Schwachstellen an der Schnittstelle zwischen Hardware und Software. Solche Seitenkanal-Angriffe sind mit herkömmlichen Antivirus- und Malware-Scanner-Tools nur schwer zu erkennen, da sie legitime Systemprozesse auf unbeabsichtigte Weise manipulieren.
Die anhaltende Verbreitung von Malware-as-a-Service (MaaS)-Plattformen wie “AntiDot” und “SuperCard X” verkompliziert die Sicherheitslage zusätzlich. Diese Plattformen senken die Einstiegshürden für weniger versierte Cyberkriminelle und ermöglichen ihnen komplexe Angriffe – einschließlich solcher, die NFC-Funktionen für Zahlungsbetrug ausnutzen.
Ausblick: Sicherheit vom Chip aufwärts
Die Forscher hinter Pixnapping warnen, dass die vollständige Eindämmung dieser Bedrohungsklasse wahrscheinlich grundlegende Änderungen an Android-Kernmechanismen erfordern wird. Eine Möglichkeit wäre es, Apps zu erlauben, andere Anwendungen daran zu hindern, über ihre sensiblen Inhalte zu rendern.
Für Nutzer gilt: Das zeitnahe Installieren monatlicher Sicherheitspatches bleibt die effektivste Verteidigung gegen bekannte Schwachstellen. Zusätzlich sollten ausschließlich Apps aus dem offiziellen Google Play Store installiert werden – das sogenannte Sideloading birgt erhebliche Risiken.
Die Pixnapping-Schwachstelle verdeutlicht eindrucksvoll: In einer vernetzten Welt ist digitale Sicherheit eine gemeinsame Verantwortung, die vom Silizium-Chip bis zum Endnutzer reicht.
