Android-Fotorahmen: Vorinstallierte Malware übernimmt Geräte

Digitale Bilderrahmen werden mit Schadsoftware ausgeliefert. Die Malware lädt nach dem ersten Einschalten automatisch Spyware und Trojaner nach – und öffnet Angreifern die Tür ins Heimnetzwerk.

Sicherheitsforscher schlagen Alarm: Zahlreiche Android-basierte Fotorahmen sind bereits ab Werk kompromittiert. Die vorinstallierten Apps kontaktieren nach dem Start Server in China und laden unbemerkt weitere Schadsoftware herunter. Im schlimmsten Fall erlangen Cyberkriminelle vollständigen Zugriff auf das Gerät und das gesamte Heimnetzwerk.

Der Vorfall reiht sich in eine besorgniserregende Serie ein. Erst Anfang November warnte das Sicherheitsunternehmen Zscaler vor Hunderten bösartiger Apps im Google Play Store mit millionenfachen Downloads. Doch die Fotorahmen-Attacke ist noch heimtückischer: Die Malware kommt direkt vom Hersteller.

Betroffen sind Geräte auf Basis der Software-Plattform „Uhale”, die unter Dutzenden Markennamen verkauft werden – darunter BIGASUO, WONNIE und SAMMIX. Die vorinstallierte App (Version 4.2.0) baut direkt nach dem Start Verbindungen zu chinesischen Servern auf und lädt bösartige APK- und JAR-Dateien herunter.

Viele Android‑Nutzer und Besitzer preiswerter Smart‑Devices unterschätzen die Gefahr vorinstallierter Malware – wie bei den kompromittierten digitalen Bilderrahmen. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android‑Geräte: Wie Sie App‑Berechtigungen prüfen, Sideloading sicher handhaben, automatische Updates einrichten, Netzwerkaktivität überwachen und verdächtige Apps entfernen. Mit klaren Schritt‑für‑Schritt‑Anleitungen schützen Sie Smartphone und vernetzte Geräte effektiv. Gratis‑Sicherheitspaket für Android herunterladen

Diese Dateien werden von Virenscannern eindeutig als Spyware und Trojaner identifiziert. Einmal aktiv, verwandeln sie den Bilderrahmen in ein Werkzeug für Cyberkriminelle. Die Geräte können zur Datenspionage, zur Haushaltsüberwachung oder als Teil eines Botnetzes missbraucht werden.

Besonders kritisch: Zusätzliche Schwachstellen in der Uhale-App ermöglichen Angreifern den Zugriff auf Root-Rechte. Damit erlangen sie vollständige Kontrolle über das Gerät.

Angriff auf die Lieferkette

Die Schadsoftware wird nicht durch Phishing oder gefälschte Downloads verbreitet. Sie ist bereits während der Produktion oder auf dem Lieferweg in die Firmware eingeschleust worden – ein klassischer Lieferketten-Angriff.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte bereits Ende 2024 vor der Malware „BadBox”. Auch sie fand sich vorinstalliert auf günstigen Android-Geräten wie TV-Boxen und Bilderrahmen. BadBox erstellte selbstständig E-Mail- und Messenger-Konten, um Falschinformationen zu verbreiten oder Werbebetrug zu begehen.

Das Perfide an solchen Angriffen: Nutzer haben kaum eine Chance, die Infektion rechtzeitig zu bemerken. Besonders betroffen sind preisgünstige Geräte weniger bekannter Hersteller, bei denen an Sicherheitskontrollen und Updates gespart wird.

Google Play Store bleibt Einfallstor

Auch der offizielle App Store bietet keinen vollständigen Schutz. Zwischen Juni 2024 und Mai 2025 identifizierte Zscaler 239 bösartige Apps im Play Store – ein Anstieg von 67 Prozent. Zusammen wurden diese Apps über 42 Millionen Mal heruntergeladen.

Die Apps tarnen sich als nützliche Werkzeuge, PDF-Reader oder Produktivitäts-Apps. Nach der Installation laden sie im Hintergrund Adware oder gefährliche Trojaner nach, die Zugangsdaten für Banking-Apps und andere sensible Informationen stehlen.

Trotz Google Play Protect und anderer Schutzmaßnahmen zeigt die hohe Zahl erfolgreicher Infiltrationen: Nutzer müssen Berechtigungen und Bewertungen jeder App kritisch prüfen.

Angriffe auf allen Ebenen

Die Bedrohungslage entwickelt sich auf mehreren Ebenen gleichzeitig. Während günstige IoT-Geräte durch Lieferketten-Angriffe kompromittiert werden, professionalisieren sich die Attacken auf Premium-Geräte.

Aktuelle Bedrohungen im Überblick:

• Operation LANDFALL: Monatelange Spionage-Kampagne nutzte Zero-Day-Lücke in Samsung-Galaxy-Geräten zur gezielten Überwachung im Nahen Osten
• CVE-2025-48593: Kritische „Zero-Click”-Schwachstelle ermöglicht Geräteübernahme ohne Nutzerinteraktion
• BadBox-Malware: Vorinstalliert auf günstigen Android-Geräten für Falschinformationen und Werbebetrug

Von Masseninfektionen durch simple Adware bis zu hochentwickelter Spyware für staatliche Akteure – kein Nutzersegment ist sicher.

So schützen Sie sich

Sofortmaßnahmen für Besitzer betroffener Geräte:

• Netzwerkaktivität von IoT-Geräten überwachen, besonders bei unbekannten Marken
• Verdächtige Geräte sofort vom Internet trennen
• Sicherheitsupdates unverzüglich installieren

Google hat mit dem Patch vom 1. November 2025 kritische Lücken geschlossen. Die Verteilung hängt jedoch von den einzelnen Herstellern ab.

Grundlegende Sicherheitsregeln:

• Apps nur aus offiziellen Quellen laden
• Bewertungen und Entwickler im Play Store genau prüfen
• Wenige oder gefälscht wirkende Rezensionen als Warnsignal ernst nehmen
• App-Berechtigungen kritisch hinterfragen

Ab 2026 zeigt Google beim Sideloading deutlichere Warnhinweise. Doch letztlich liegt die Verantwortung beim Nutzer: Wachsamkeit ist der beste Schutz für die digitalen Türen zum eigenen Leben.

PS: Wenn Sie nach diesem Vorfall sofort handeln wollen: Der Ratgeber zeigt, wie Sie kompromittierte Geräte erkennen, Ihre Heimnetzwerk‑Sicherheit prüfen und welche Sofortmaßnahmen greifen (z. B. Gerät isolieren, Passwörter ändern, verdächtige Apps löschen). Dazu gibt es eine praxisnahe Checkliste für Smartphone, TV‑Box und Fotorahmen sowie klare Anweisungen zum sicheren Verhalten nach einer Infektion. Jetzt Android‑Schutzpaket anfordern