Aufgrund von laufenden Attacken sollten Besitzer von Android-Smartphones die verfügbaren Sicherheitsupdates installieren. Diese Patches gibt es aber nur für Geräte, die sich noch im Support befinden.

Jetzt patchen!

Wie aus einer Warnmeldung hervorgeht, haben Googles Androidentwickler insgesamt knapp 140 Schwachstellen geschlossen. In dem Beitrag warnen die Entwickler auch vor laufenden Attacken auf eine Schwachstelle in einer Grafik-/Display-Komponente von Qualcomm. Die Lücke (CVE-2026-21385) ist mit dem Bedrohungsgrad „hoch“ eingestuft.

Was Angreifer nach einer erfolgreichen Attacke konkret anstellen können, ist bislang unklar. Unbekannt ist derzeit auch, in welchem Ausmaß die Angriffe ablaufen. Google schreibt von Attacken in „begrenztem Umfang“.

Weitere Gefahren

Die verbleibenden Sicherheitslücken betreffen das Framework, Kernel-Komponenten, das System und verschiedene Komponenten von Arm, Imagination, Qualcomm, MediaTek und Unisoc. Über „kritische“ Schwachstellen im Framework (Android 16-qpr2: CVE-2026-0047) und im System (Android 16: CVE-2026-0006, Android 14, 15, 16, 16-qpr2 CVE-2025-48631) können sich Angreifer höhere Rechte verschaffen oder Schadcode ausführen. Auch DoS-Attacken sind möglich.

Durch das erfolgreiche Ausnutzen der verbleibenden Lücken, die mit dem Bedrohungsgrad „hoch“ eingestuft sind, können sich Angreifer primär höhere Nutzerrechte aneignen. Es können aber auch Informationen geleakt werden.

Google versichert, die Schwachstellen mit den Patch Levels 2026-03-01 und 2026-03-05 geschlossen zu haben. In diesem Monat gibt es so viele Sicherheitsupdates, weil Google seit Juli 2025 monatlich nur noch nach ihrer Einschätzung nach besonders gefährliche Lücken schließt. Verbleibende Updates werden seitdem quartalsweise veröffentlicht.

(des)

Seit Mai 2024 sind in Berlin Distanzelektroimpulsgeräte, auch Taser genannt, im flächendeckenden Einsatz. 255 der Waffen nutzen die Polizist*innen, dazu kommt eine geheime Zahl von Tasern beim Berliner SEK. Der Taser wurde als polizeiliche Waffe neben Schlagstock, Pfefferspray und Pistole eingeführt.

Im Jahr 2025 haben Berliner Polizist*innen 62 Mal mit Tasern auf Menschen geschossen. Das sind deutlich mehr Fälle als noch im Jahr zuvor (49). Dabei wurden 58 Personen verletzt. Das sind fast doppelt so viele wie im Jahr zuvor (32). Das ergab eine Kleine Anfrage von Vasili Franco, dem innenpolitischen Sprecher der Grünen im Abgeordnetenhaus, die netzpolitik.org exklusiv vorliegt.

Franco sagt: „Dass mehr Tasereinsätze zu mehr Verletzten führen, scheint für die Innenverwaltung völlig irrelevant zu sein.“

Extreme Schmerzen

Bei der Nutzung eines Tasers werden zwei Elektroden abgeschossen, sie sollen sich in die Haut des Gegenübers bohren, woraufhin über Drähte, die daran hängen, Strom mit sehr hoher Spannung in das Opfer geleitet wird. Für gewöhnlich bricht es dadurch zusammen. Betroffene berichten von extremen Schmerzen.

Immer wieder sterben Menschen, nachdem sie getasert wurden. Besonders für Menschen mit Vorerkrankungen kann der Taser eine tödliche Waffe sein. In den USA sind allein zwischen 2000 und 2017 mehr als 1.000 Menschen bei Polizeimaßnahmen gestorben, in denen Taser eingesetzt wurden. Die Menschenrechtsorganisation Amnesty International kritisiert zudem den weltweiten Missbrauch der Elektro-Waffen (PDF).

Dennoch gilt der Taser im Vergleich zur Schusswaffe als milderes Mittel. Das zeigt sich auch daran, dass die Polizist*innen deutlich freizügiger damit umgehen. Die Hemmschwelle zum Taser-Einsatz ist vergleichsweise gering, was ein Missbrauchspotenzial mit sich bringt. Oft reicht angeblich auch schon die Drohung mit dem Taser, um eine Situation zu befrieden, allerdings drückten die Berliner Polizist*innen im vergangenen Jahr, wenn sie den Taser einmal gezogen hatten, in 42 Prozent der Fälle auch ab.

Normalisierung „erheblicher Gewaltanwendung“ befürchtet

Oft wird der Taser gegen Menschen in psychischen Ausnahmesituationen eingesetzt. Allein acht Menschen wurden 2025 in Berlin getasert, weil sie Suizid verüben wollten. In einem Fall wurde ein Mensch per Elektroschock niedergestreckt, weil er mit einer Krücke um sich schlug. In anderen Fällen reichte „wirkte bedrohlich“ oder „nahm nicht die Hände aus der Tasche, näherte sich“ oder „Versteifen des Körpers“ als Grund für den Taser-Einsatz.

Neben den gesundheitlichen Risiken sehen Experten wie der Strafrechtsprofessor Andreas Ruch, die Ausweitung des Einsatzes von Tasern als die große Gefahr. Er schreibt in einem Artikel im Verfassungsblog: „Weil bekannt ist, dass der Taser in einer Vielzahl von Fällen als Elektroschocker unmittelbar gegen den Körper von Personen gerichtet wird, um deren Willen zu beugen, ist außerdem zu befürchten, dass Beamte die Geräte künftig extensiv nutzen und sich damit eine Form erheblicher polizeilicher Gewaltanwendung schleichend normalisiert.“

Microsoft warnt vor einer Kampagne, die im Browser und auf Chat-Plattformen Spiele-Tools verspricht, jedoch Malware liefert. Führen Opfer die Schadsoftware aus, installiert das einen Remote Access Trojan (RAT), der Angreifern vollen Zugriff auf den Rechner gewährt.

Das berichtet Microsofts Threat-Intelligence-Team etwa auf Bluesky. Es handelt sich demnach um „trojanisierte“ Gaming-Werkzeuge. Konkret benennt Microsoft die ausführbaren Dateien „RobloxPlayerBeta.exe“ und „xeno.exe“. Die erstere Datei trägt den Namen einer legitimen Roblox-Executable, die zweitere soll ein „Executer“ sein, mit dem sich Roblox-Spiele optimieren und „verbessern“ lassen sollen.

Downloader und Malware statt Gaming-Tools

Microsoft benennt es nicht eindeutig, ob die angeblichen Gaming-Tools zur Verschleierung ihrer bösen Absicht auch die erwarteten Funktionen mitbringen oder ausschließlich den Infektionsprozess starten. Nach Start der Datei lädt die Schadsoftware eine portable Java-Laufzeitumgebung nach und startet damit ein bösartiges Java-Archiv (.jar) namens „jd-gui.jar“. Der Downloader setzt dabei auf PowerShell-Anweisungen und Living-off-the-Land-Binärdateien (LOLBins), also Befehlen, die Windows bereits standardmäßig mitbringt. Er setzt etwa „cmstp.exe“ ein, mit dem sich Profile im Verbindungsmanager-Dienst installieren lassen. Dem Befehl können sie .inf-Dateien übergeben, die ihrerseits böswillige Befehle enthalten und DLLs von entfernten Servern laden und ausführen. Damit umgehen sie gegebenenfalls Schutzmaßnahmen, da cmstp.exe eine legitime Microsoft-Datei ist.

Der Erkennung versucht die Malware außerdem durch Löschen des initialen Downloaders und der Einrichtung von Ausnahmen in den Windows-Defender-Einstellungen für die RAT-Komponenten zu entgehen. Persistente Einnistung gehört ebenfalls zum Malware-Repertoire. Sie ergänzt eine geplante Aufgabe und ein Start-Skript namens „world.vbs“. Am Ende hat es eine Mehrzweck-Malware verankert, die als Loader, Starter, Downloader und RAT fungiert. Microsoft nennt als IP-Adresse des Command-and-Control-Servers die 79.110.49[.]15, die sich jedoch ändern kann. Von dort aus können die Angreifer diverse Aktionen auslösen, wie Datendiebstahl oder die Installation weiterer Malware.

Microsoft empfiehlt, ausgehende Verbindungen zu der IP-Adresse zu überwachen und Alarme für Downloads von java.zip oder jd-gui.jar von nicht-Unternehmens-Ressourcen einzurichten. Admins sollten zudem nach zugehörigen Prozessen und Komponenten Ausschau halten. Die Ausnahmen im Windows Defender und die geplanten Aufgaben sollen IT-Verantwortliche ebenfalls etwa auf zufällige Namen überprüfen und bösartige Aufgaben und Start-Skripte entfernen. Betroffene Geräte sollen Admins zudem isolieren und die Zugangsdaten von Nutzern der kompromittierten Maschine zurücksetzen. Microsoft nennt noch Hashwerte von verdächtigen Dateien und Verbindungen auf powercat[.]dog/Port 443 als Indizien für eine Infektion (Indicators of Compromise, IOC).

Cyberkriminelle haben Spielerinnen und Spieler dauerhaft im Visier. Bereits im vergangenen Jahr versuchten Täter etwa, auf Discord-Servern Opfer mit vermeintlichen Beta-Tests für Spiele zu ködern. Die ausführbaren Dateien installierten jedoch lediglich Infostealer.

(dmk)