Malware versteckt sich in Hentai-Games

Kaspersky-Experten haben einen neuen Remote-Access-Trojaner (RAT) entdeckt, von dem Hunderte Nutzer von Erwachsenenspielen, sogenannte Hentai Games, betroffen sind [1]. Obwohl die Kampagne primär auf den Diebstahl von Daten und Accountdetails abzielt, ermöglicht der RAT Angreifern auch die vollständige Fernsteuerung infizierter Geräte und damit die Ausführung einer Vielzahl schädlicher Aktionen. Argamal hat bereits Nutzer in vielen Ländern infiziert, darunter Deutschland. Kaspersky geht mit mittlerer Wahrscheinlichkeit davon aus, dass der Entwickler spanischsprachig ist.

Im April 2026 entdeckte das Global Research and Analysis Team (GReAT) von Kaspersky eine neue Malware-Kampagne, die sich gegen Hentai-Games-Spieler richtet. Bei Hentai-Games handelt es sich um Videospiele für Erwachsene japanischen Ursprungs oder im Anime-Stil, die erotische oder sexuelle Inhalte enthalten. In den identifizierten Spielen versteckten sich Trojaner, mit denen Cyberkriminelle ein unbekanntes Schadprogramm auf den Geräten der Betroffenen installierten. Nach mehreren Tagen Inaktivität lud die Malware einen weiteren Trojaner nach und führte ihn aus. Dadurch wurde das System vollständig kompromittiert und die Angreifer erhielten einen weitreichenden Fernzugriff auf das infizierte Gerät.

Die Cyberkriminellen verbreiteten die manipulierten Spiele über verschiedene Kanäle; die Kaspersky-Experten fanden mehrere Websites, die Screenshots der Spiele sowie Download-Links bereitstellten. Diese Links leiteten Nutzer zum legitimen Filesharing-Dienst PixelDrain weiter, der häufig zur Verbreitung von Malware missbraucht wird. Zusätzlich kursierten die trojanisierten Installationsdateien über Torrent-Tracker wie AniRena. In allen beobachteten Fällen luden die Opfer ein Archiv mit infizierten Spieldateien herunter. Dieses enthielt neben den legitimen Spieldateien eine manipulierte Bibliothek, die für den Start des Spiels erforderlich war. Sobald Nutzer das Spiel öffneten, führte diese Bibliothek den Schadcode automatisch aus. Das eigentliche Spiel blieb dabei funktionsfähig, wodurch die Infektion für die Opfer weniger auffällig war.

Zudem fanden die Experten von Kaspersky zusätzliche Verbreitungsmethoden für den Remote Access Trojaner (RAT). In einigen Fällen war die Schadsoftware direkt in Spieldateien eingebettet und wurde über modifizierte, mit dem Spiel gebündelte Komponenten geladen. In einem anderen Fall tarnten die Angreifer die Malware in einem Spieleforum als Cheat.

„Cyberkriminelle missbrauchen seit Langem spielebezogene Inhalte und inoffizielle Software-Installationsprogramme, um Schadsoftware zu verbreiten“, erklärt Dmitry Galov, Head of Russia and CIS im GReAT bei Kaspersky. „Sie setzen darauf, dass Nutzer Dateien aus ungesicherten Quellen ohne weiteres Misstrauen herunterladen. Unsere Analyse zeigt, dass die Schadsoftware aktiv weiterentwickelt und regelmäßig mit neuen Funktionen sowie Infrastrukturänderungen aktualisiert wird. Das deutet darauf hin, dass die Kampagne andauert und sich wahrscheinlich weiterentwickeln wird. Die zunehmende Verfügbarkeit öffentlicher Tools und Automatisierungslösungen vereinfacht und beschleunigt zudem die Schadsoftwareentwicklung für Angreifer. Nutzer sollten daher keine Software von inoffiziellen Websites oder Plattformen herunterladen.“

Auf Basis technischer Informationen sowie Kommentaren im Code der Malware gehen die Kaspersky-Experten mit mittlerer Wahrscheinlichkeit davon aus, dass der Entwickler der Downloader-Kette spanischsprachig sein könnte.

Argamal wurde bereits – neben Deutschland – in Russland, Brasilien, Vietnam und in zahlreichen weiteren Ländern nachgewiesen. Kaspersky-Lösungen erkennen diese Cyberbedrohung als Trojan.Win32.Termixia., Trojan.Win32.Agent., HEUR.Win32.Argamal.gen und HEUR.Win32.Argamal.gen.

Kaspersky-Tipps zum Schutz vor Argamal

• Spiele und Mods ausschließlich aus offiziellen Quellen oder von vertrauenswürdigen Websites herunterladen, da inoffizielle Quellen Malware enthalten können.
• Die Windows-Option „Dateinamenerweiterungen anzeigen“ aktivieren, damit sich potenziell schädliche Dateien leichter erkennen lassen. Da Trojaner Programme sind, gilt besondere Vorsicht bei Dateien mit den Erweiterungen „.exe“, „.vbs“ und „.scr“. Cyberkriminelle nutzen mitunter verschiedene Dateierweiterungen, um schädliche Dateien als Video, Foto oder Dokument zu tarnen.
• Eine leistungsstarke Sicherheitslösung wie Kaspersky Premium [2] nutzen, die alle Geräte vor Bedrohungen schützt.

Weitere Informationen zu Argamal sind verfügbar unter https://securelist.com/argamal-rat-distributed-with-hentai-games/119999/

[1] https://securelist.com/argamal-rat-distributed-with-hentai-games/119999/

[2] https://kas.pr/re3t

Nützliche Links:

• Kaspersky Premium: https://kas.pr/re3t