Eine neue Generation von Android-Malware namens HummingBad zeigt, wie raffiniert Cyberkriminelle heute vorgehen: Das Schadprogramm nutzt infizierte Android-Geräte, um im Verborgenen Werbung anzuklicken und dabei Millionen von Dollar zu erwirtschaften. Doch das ist nur die Spitze des Eisbergs – die wahre Gefahr liegt in den Root-Rechten, die sich die Malware verschafft.
Manche Schadprogramme verstecken sich nicht großartig. Ransomware wie die berüchtigte LockBit-Familie blockiert den Zugriff auf gespeicherte Daten, verschlüsselt alles und verlangt unverblümt Lösegeld in Kryptowährung. In einer solchen Situation wird auch dem größten IT-Laien klar, wie die Masche funktioniert und dass die Betrüger ordentlich Geld verdienen.
Andere Trojaner operieren dagegen völlig im Verborgenen. Sie missbrauchen unbemerkt den eigenen Rechner oder das eigene Gerät für DDoS-Attacken auf andere Systeme. Auch damit lassen sich beträchtliche Summen verdienen, etwa durch Erpressung von Unternehmen: Wenn ihr nicht zahlt, intensivieren wir die Angriffe und legen eure Infrastruktur lahm. Die meisten User bekommen davon nichts mit, selbst wenn ihre Hardware aktiv missbraucht wird.
HummingBad: Millionenschwerer Ad-Fraud auf Android
Mit HummingBad haben Sicherheitsforscher eine besonders perfide Android-Malware entdeckt, die ausschließlich mobile Geräte ins Visier nimmt. Nach aktuellen Schätzungen von Cybersecurity-Experten waren weltweit bereits über 85 Millionen Geräte betroffen – eine Zahl, die das Ausmaß dieser Bedrohung verdeutlicht. In Deutschland registrierten Sicherheitsfirmen zeitweise rund 40.000 infizierte Smartphones und Tablets.
Das Perfide an HummingBad: Die Betroffenen bemerken die Infektion meist gar nicht. Die Malware arbeitet vollkommen im Hintergrund und klickt automatisiert Werbebanner auf virtuell geladenen Webseiten an – ohne dass die Nutzer diese Seiten jemals zu Gesicht bekommen. Durch diese gefälschten Klicks entstehen künstlich Werbeumsätze, von denen die Kriminellen profitieren.
Die Betreiber von HummingBad haben ein ausgeklügeltes System aufgebaut: Sie betreiben eigene Webseiten mit Werbebannern und kassieren für jeden Bot-generierten Klick eine Provision. Diese Form des Ad-Frauds ist besonders lukrativ, weil sie schwer zu entdecken ist. HummingBad geht dabei so geschickt vor, dass die gefälschten Klicks lange Zeit nicht von Algorithmen der Werbeplattformen erkannt wurden. Schätzungen zufolge verdienten die Cyberkriminellen auf diese Weise bis zu 300.000 Dollar pro Monat.
Root-Zugriff macht HummingBad besonders gefährlich
Doch der Ad-Fraud ist nur ein Aspekt der HummingBad-Bedrohung. Weitaus problematischer ist die Tatsache, dass sich die Malware auf vielen Android-Geräten Root-Rechte verschafft und damit praktisch die komplette Kontrolle über das Smartphone oder Tablet übernimmt. Mit diesen Administratorrechten kann HummingBad theoretisch alles auf dem Gerät manipulieren, überwachen oder steuern.
Sicherheitsforscher haben dokumentiert, dass HummingBad-infizierte Geräte zu größeren Botnetzwerken zusammengeschlossen werden können. Diese Zombie-Netzwerke lassen sich dann für verschiedene kriminelle Aktivitäten missbrauchen: von koordinierten Cyberattacken über Spam-Versand bis hin zu weiteren Malware-Kampagnen. Die infizierten Geräte werden faktisch zu ferngesteuerten Werkzeugen in den Händen der Cyberkriminellen.
Besonders beunruhigend ist dabei, dass viele Nutzer nicht einmal ahnen, dass ihr Gerät kompromittiert wurde. HummingBad arbeitet so subtil, dass es weder die Performance spürbar beeinträchtigt noch durch verdächtige Aktivitäten auffällt. Die Malware kann dadurch monatelang unentdeckt auf einem Gerät verweilen und kontinuierlich Schäden verursachen.
Schutz vor Android-Malware: Was ihr beachten solltet
Um sich vor HummingBad und ähnlichen Bedrohungen zu schützen, gelten nach wie vor die bewährten Sicherheitsprinzipien für Android-Nutzer. Der wichtigste Punkt: Installiert Apps nur aus vertrauenswürdigen Quellen wie dem Google Play Store. Sideloading von APK-Dateien aus dubiosen Quellen ist einer der häufigsten Infektionswege für Android-Malware.
Eine aktuelle Sicherheitssoftware ist ebenfalls unverzichtbar. Moderne Anti-Malware-Lösungen für Android erkennen HummingBad und verwandte Bedrohungen mittlerweile zuverlässig und können die Schädlinge in vielen Fällen auch vollständig entfernen. Führt regelmäßige Scans durch und achtet auf verdächtige Aktivitäten.
Genau so wichtig: Haltet euer Android-System und alle installierten Apps stets auf dem neuesten Stand. Sicherheitsupdates schließen bekannte Schwachstellen, die von Malware wie HummingBad ausgenutzt werden. Aktiviert automatische Updates, wo immer möglich.
Zusätzlich solltet ihr die Berechtigungen installierter Apps regelmäßig überprüfen. Apps, die ungewöhnlich viele oder verdächtige Berechtigungen anfordern, verdienen besondere Aufmerksamkeit. Im Zweifel ist es besser, eine App zu deinstallieren, als ein Sicherheitsrisiko einzugehen.
Wer diese Grundregeln befolgt, reduziert das Risiko einer HummingBad-Infektion erheblich. Denn auch wenn die Malware sehr raffiniert vorgeht – ein gut abgesichertes und aktuell gehaltenes Android-System bietet deutlich weniger Angriffsfläche für solche Bedrohungen.
Zuletzt aktualisiert am 07.04.2026
