Vor lauter Phishing-Warnungen und Cyber-Kriminalität skeptisch geworden beim Anblick jeglicher E-Mails von Mobilfunk-Anbietern, Zahlungsdienstleistern oder Banken? Trotzdem: ernst nehmen und lesen, nicht blind löschen. Etwa, wenn die Telekom schreibt: "Eines oder mehrere Endgeräte in Ihrem Netzwerk (…) sind möglicherweise mit Schadsoftware infiziert." Es könnte sein, dass Sie sich Malware eingefangen haben. Konkret Badbox 2.0-Botnet, das Android-Geräte wie Tablets, Handys und Smart-TVs befällt. Davor warnen auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das FBI (externe Links).
Die gute Nachricht: Badbox 2.0 kann – zumindest derzeit – Geräten ab der Android-Version 13 nichts anhaben. Die schlechte: Es gibt kaum Chancen, Badbox zu erkennen. Entfernen lässt sich die Malware auch nicht. Zudem kann es auf Billig-Geräten bereits ab Werk installiert sein. Aber der Reihe nach.
Was ist Badbox und was macht es so gefährlich?
Badbox ist eine weltweit verbreitete Malware, die es bereits seit 2023 gibt. Laien können sie kaum erkennen und nicht vom Gerät entfernen. Seit März 2025 ist die Weiterentwicklung Badbox 2.0-Botnet im Umlauf. Google bezeichnet es als größtes bekanntes Botnet von mit dem Internet verbundenen TV-Geräten. Einmal installiert, öffnet Badbox kriminellen Hackern nicht nur Zugang zum Gerät, sondern auch dem Netzwerk, in dem es angemeldet ist – also auch zu privaten Internetzugängen.
So nutzen Cyberkriminelle Badbox:
- Proxy-Missbrauch: Die Kriminellen nutzen die IP-Adressen infizierter Geräte, um Fake-News zu verbreiten oder andere Systeme zu hacken. Wird die IP-Adresse in Zusammenhang mit Straftaten gebracht, kann das rechtliche Konsequenzen für den Geräte-Besitzer bedeuten.
- Datendiebstahl und Kontoübernahme: Die Malware kann Login-Daten stehlen und unbemerkt Accounts für E-Mail- und Messenger-Dienste erstellen, über die die Fake-News verbreitet werden.
- Automatisierter Betrug: Die Kriminellen nutzen das Botnet für automatisierten Anzeigenbetrug oder Klickbetrug. Das kann das Gerät überlasten oder die Internetverbindung verlangsamen.
Wie kommt Badbox auf Android-Geräte?
Das ist das Perfide: Die Malware Badbox ist seit der Version 2.0 entweder bereits ab Werk auf den Geräten installiert oder wird bei der Erst-Konfiguration automatisch heruntergeladen. Seit der neuen Version Badbox 2.0-Botnet kann die Malware jetzt auch nach dem Kauf beim Herunterladen von Software auf Android-Geräte gelangen. Das BSI und das US-amerikanische FBI warnen ausdrücklich vor App Stores mit Drittanbieter-Apps.
Wie viele Geräte sind infiziert?
"Millionen" Geräte sind betroffen, schätzt Jens Karschau vom BSI. Google geht von zehn Millionen aus. Android gehört zu Google. Der Konzern hat zudem Klage gegen das Botnet eingereicht (externer Link).
Welche Geräte sind betroffen?
Die Badbox-Malware befällt Geräte wie Tablets, darunter:
- Smart-TVs
- Digitale Bilderrahmen
- Tablets
- Streaming-Player und Streaming-Boxen
- Digitale Projektoren
- Aftermarket-Infotainment-Systeme für Fahrzeuge
Folgende Merkmale haben die meisten Geräte laut dem BSI:
- Sie sind in China hergestellt worden.
- Sie haben ab Werk veraltete Android-Versionen (Android 12 abwärts)
- Die Geräte sind nicht vom Google-Play-Store überprüft worden. Wie Sie herausfinden, ob ein Gerät Play-Protect-zertifiziert ist, erklärt Google auf seiner Website (externer Link).
Ab welcher Android-Version sind die Geräte sicher?
Derzeit: Ab Android 13. Wirklich sicher sind die Geräte aber nur, wenn auch die jüngsten Hersteller-Updates installiert sind.
Wie merke ich, dass ein Gerät befallen sein könnte?
Das FBI und das BSI geben konkrete Hinweise, woran sich möglicherweise infizierte Geräte erkennen lassen:
1. Vor dem Kauf
- Das BSI warnt vor Plattformen, die eine Vielzahl von günstigen No-Name-Geräten oder Angebote mit vermeintlich "kostenlosen" Inhalten anbieten.
- Markengeräte sind in der Regel nicht betroffen. Die infizierten Geräte stammen von unbekannten Marken aus China.
2. Nach dem Kauf und während der Nutzung
Auf dem Gerät sind unbekannte App-Stores vorinstalliert.
- Laden Sie keine Apps aus inoffiziellen App-Stores herunter – insbesondere, wenn sie kostenlose Streaming-Inhalte versprechen.
- Nutzer werden aufgefordert, die Google-Play-Sicherheitseinstellungen zu deaktivieren.
- Das Gerät ist nicht Play-Protect-zertifiziert.
- Nutzer registrieren ein unerklärbar hohes Datenvolumen.
- Was kann ich tun, um meine Geräte zu schützen?
Das, was alle Cyber-Sicherheitsexperten raten: Updates sofort herunterladen, wenn die Hersteller sie bereitstellen. Theoretisch sollten Nutzer ihr Heimnetzwerk auch auf verdächtigen Traffic überwachen. Das aber ist in der Praxis kaum umsetzbar.
Was mache ich, wenn mein Gerät infiziert ist?
Trennen Sie das Gerät sofort vom Netzwerk, damit die Cyberkriminiellen nicht länger Ihren privaten Internetzugang nutzen können. Wenn die Rückgabefrist noch nicht abgelaufen ist, können Verbraucher versuchen, es zurückzugeben. Andernfalls bleibt nur die Entsorgung.
Wie lösche ich Badbox von meinem Gerät?
Gar nicht. Badbox lässt sich von Nutzern nicht sicher entfernen.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!