{"id":33541,"date":"2026-06-03T10:00:27","date_gmt":"2026-06-03T08:00:27","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33541"},"modified":"2026-06-01T15:56:51","modified_gmt":"2026-06-01T13:56:51","slug":"android-tv-botnet","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/android-tv-botnet\/33541\/","title":{"rendered":"Vermietet deine TV-Box dein Netzwerk?"},"content":{"rendered":"<p>Netflix, Apple TV+, Disney+, Hulu, Amazon Prime, YouTube Premium\u00a0\u2026 Eine durchschnittliche gesetzestreue Familie hat heutzutage <a href=\"https:\/\/www.kaspersky.com\/blog\/how-to-manage-subscriptions-safely\/55776\/\" target=\"_blank\" rel=\"noopener nofollow\">f\u00fcnf bis zehn Abos<\/a>, nur um alle Lieblingsserien anzuschauen. Pro Monat kommen daf\u00fcr schnell \u00fcber hundert Euro zusammen. Kein Wunder also, dass in Social Media und auf Online-Markpl\u00e4tzen die Nachfrage nach den \u201eZauberboxen\u201c steigt, die Ende 2025 aufgetaucht sind: Android-gest\u00fctzte TV-Boxen, die versprechen, Tausende von Kan\u00e4len sowie Abos f\u00fcr alle Streaming-Dienste freizuschalten\u00a0\u2013 gegen einen einmaligen Kaufpreis und ohne weitere Abokosten.<\/p>\n<p>Werbung f\u00fcr solche Ger\u00e4te gibt es massenhaft bei TikTok und Instagram: L\u00e4chelnde Influencer zeigen das Unpacking von SuperBoxen, schlie\u00dfen sie an einen Fernseher an und st\u00f6bern ungest\u00f6rt durch die Kan\u00e4le. Das ist wohl der ultimative Life-Hack gegen Abo-M\u00fcdigkeit, oder? In Wirklichkeit ist es jedoch eine der einfachsten Methoden, um dein Heimnetzwerk zum Teil eines Botnetzes zu machen.<\/p>\n<div id=\"attachment_33543\" style=\"width: 2653px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2026\/06\/01153139\/android-tv-botnet-01.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-33543\" class=\"wp-image-33543 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2026\/06\/01153139\/android-tv-botnet-01.jpg\" alt=\"Screenshot eines TikTok-Videos, das eine SuperBox in Aktion zeigt\" width=\"2643\" height=\"1968\"><\/a><p id=\"caption-attachment-33543\" class=\"wp-caption-text\">Ein TikTok-Werbevideo erkl\u00e4rt, wie toll es ist, wenn <s>der K\u00e4se gratis ist<\/s> du einfach alle Abos k\u00fcndigen kannst<\/p><\/div>\n<h2>Was ist faul an diesen billigen TV-Boxen?<\/h2>\n<p>Es gab schon fr\u00fcher Geschichten \u00fcber b\u00f6sartige TV-Boxen, aber inzwischen hat ihre Vermarktung ein wirklich alarmierendes Ausma\u00df erreicht.<\/p>\n<p>Ende\u00a02025 <a href=\"https:\/\/www.foxnews.com\/tech\/why-your-android-tv-box-may-secretly-part-botnet\" target=\"_blank\" rel=\"noopener nofollow\">untersuchten<\/a> Analysten mehrere Modelle des popul\u00e4ren SuperBox-Ger\u00e4ts, die im Einzelhandel und auf Online-Marktpl\u00e4tzen erh\u00e4ltlich sind. Die Ergebnisse waren besorgniserregend: Gleich nach dem Einschalten begannen die Ger\u00e4te, die Server der chinesischen Messaging-App Tencent\u00a0QQ sowie den Grass-Proxy-Dienst anzupingen\u00a0\u2013 und vermieteten die Internetbandbreite des Besitzers quasi an Dritte.<\/p>\n<p>In der Firmware entdeckten die Forscher Anwendungen, die f\u00fcr einen Mediaplayer absolut untypisch waren: einen Netzwerkscanner sowie Tools f\u00fcr die Datenverkehrsanalyse und das DNS-Hijacking. Das Ger\u00e4t streamt also nicht nur raubkopierte Inhalte, sondern durchsucht das lokale Netzwerk auch nach anderen Zielen (z.\u00a0B. industriellen SCADA-Schnittstellen) und ist bereit, bei DDoS-Angriffen mitzumischen. Zudem enthielten die SuperBoxen Ordner mit dem verr\u00e4terischen Namen \u201esecondstage\u201c, ein klarer Hinweis auf mehrstufige Malware.<\/p>\n<p>Im April\u00a02026 gab es im Podcast \u201eDarknet\u00a0Diaries\u201c ein <a href=\"https:\/\/darknetdiaries.com\/episode\/172\/\" target=\"_blank\" rel=\"noopener nofollow\">Interview<\/a> mit dem Sicherheitsforscher D3ada55, der viele interessante Details \u00fcber diese Boxen erz\u00e4hlte. Unter anderem, dass sie nach wie vor offiziell auf gro\u00dfen Plattformen wie Amazon, Walmart und Best\u00a0Buy verkauft werden.<\/p>\n<h2>Chronik der Infektionen: von BADBOX bis Keenadu<\/h2>\n<p>SuperBox ist bei weitem nicht der einzige Fall, in dem Android-Ger\u00e4te in Botnetz-Knoten umgewandelt oder bereits infiziert verkauft wurden. Hier ein \u00dcberblick \u00fcber die neuesten F\u00e4lle:<\/p>\n<ul>\n<li><strong>BADBOX\u00a02.0.<\/strong> Im Juli\u00a02025 reichte Google eine Klage gegen die Betreiber eines Botnetzes ein, das mehr als\u00a010 Millionen Android-Ger\u00e4te kompromittiert hatte\u00a0\u2013 haupts\u00e4chlich billige TV-Boxen, Tablets und Projektoren ohne Google\u00a0Play Protect-Zertifizierung. Wie <a href=\"https:\/\/www.kaspersky.de\/blog\/growing-2026-android-threats-and-protection\/33139\/\" target=\"_blank\" rel=\"noopener\">bereits erw\u00e4hnt<\/a>, hat BADBOX\u00a02.0 es speziell auf TV-Boxen abgesehen und agiert gleichzeitig als Proxy-Netzwerk und Motor f\u00fcr Werbebetrug.<\/li>\n<li><strong>Kimwolf<\/strong>. Im Dezember\u00a02025 <a href=\"https:\/\/blog.xlab.qianxin.com\/kimwolf-botnet-en\/\" target=\"_blank\" rel=\"noopener nofollow\">entdeckte<\/a> das Team von QiAnXin\u00a0XLab ein DDoS-Botnetz, das rund 1,8\u00a0Millionen Android-Ger\u00e4te \u201egekidnappt\u201c hatte. Zu der infizierten Hardware geh\u00f6rten Modelle von unbedeutenden Herstellern mit klingenden Namen wie TV\u00a0BOX, SuperBox, XBOX und SmartTV. Die Geografie der Infektionen war enorm, da kompromittierte Ger\u00e4te weltweit ausgeliefert wurden. Am st\u00e4rksten betroffenen waren Brasilien, Indien, die USA, Argentinien, S\u00fcdafrika, die Philippinen und Mexiko.<\/li>\n<li><strong>Keenadu<\/strong>. Unsere Experten sp\u00fcrten diese Malware bereits im November\u00a02025 in der Firmware fabrikneuer Ger\u00e4te auf. Richtig bekannt wurde sie jedoch erst, als <a href=\"https:\/\/securelist.com\/keenadu-android-backdoor\/118913\/\" target=\"_blank\" rel=\"noopener\">wir im Februar\u00a02026 eine Studie dar\u00fcber ver\u00f6ffentlichten<\/a>. Keenadu gibt sich als legitime Systemkomponenten aus, bettet sich sogar in Apps zur Gesichtserkennung ein und gew\u00e4hrt Angreifern m\u00f6glicherweise Zugriff auf biometrische Daten, Bankdaten und pers\u00f6nliche Nachrichten.<\/li>\n<\/ul>\n<p>Alle diese Geschichten haben den gleichen Ursprung: Den Triada-Trojaner, der <a href=\"https:\/\/www.kaspersky.com\/blog\/triada-trojan\/11481\/\" target=\"_blank\" rel=\"noopener nofollow\">erstmals 2016 von unseren Forschern dokumentiert wurde<\/a> und damals als \u201eeiner der modernsten mobilen Trojaner\u201c galt. In den letzten zehn Jahren hat er sich von einer gew\u00f6hnlichen Malware zu einer modularen Backdoor <a href=\"https:\/\/www.wired.com\/story\/android-tv-streaming-boxes-china-backdoor\/\" target=\"_blank\" rel=\"noopener nofollow\">entwickelt<\/a>, die im Lauf der Lieferkette direkt in die Firmware <a href=\"https:\/\/www.kaspersky.de\/blog\/trojan-in-fake-smartphones\/32106\/\" target=\"_blank\" rel=\"noopener\">eingebaut<\/a> wird.<\/p>\n<h2>So funktioniert das Infektionsschema<\/h2>\n<p>Die Hersteller billiger TV-Boxen sparen an allen Enden: bei der Google\u00a0Play Protect-Zertifizierung, bei Firmware-Audits und bei Sicherheits-Updates. Viele dieser Ger\u00e4te nutzen das Android Open Source Project <a href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2025\/03\/android-botnet-badbox-largely-disrupted\" target=\"_blank\" rel=\"noopener nofollow\">ohne jegliche Sicherheitsgarantien<\/a>. Irgendwo entlang der Lieferkette, sei es im Werk, bei einem Zwischen- oder Gro\u00dfh\u00e4ndler, wird eine Hintert\u00fcr in das Firmware-Image injiziert. Unsere Experten vermuten, dass der Hersteller m\u00f6glicherweise gar nichts davon ahnt.<\/p>\n<p>Das Ausma\u00df der Infektion macht Millionen identischer Boxen zur perfekten Basis f\u00fcr ein Botnetz: Jedes kompromittierte Ger\u00e4t besitzt eine einmalige IP-Adresse, die beliebig verliehen werden kann. Botnetzbetreiber wie Kimwolf monetarisieren dies nicht nur durch verteilte DDoS-Angriffe, sondern auch mit dem Weiterverkauf der Bandbreite infizierter Smart-TVs und Streaming-Boxen.<\/p>\n<h2>Was bedeutet das f\u00fcr dich?<\/h2>\n<p>Eine infizierte TV-Box steht direkt in deinem Wohnzimmer und ist mit deinem Heim-WLAN verbunden. Also kann sie Smartphones \u201esehen\u201c, auf denen Banking-Apps ausgef\u00fchrt werden, NAS-Ger\u00e4te, auf denen Familienarchive gespeichert sind, IP-Kameras, intelligente Schl\u00f6sser, gesch\u00e4ftliche Laptops und alle anderen Ger\u00e4te, die mit deinem WLAN-Netzwerk verbunden sind.<\/p>\n<p>Mit einem solchen Br\u00fcckenkopf in deinem Heimnetzwerk k\u00f6nnen Angreifer unverschl\u00fcsselten Datenverkehr abfangen, DNS-Anfragen f\u00e4lschen, Port-Untersuchungen durchf\u00fchren und auf benachbarten Ger\u00e4ten nach Schwachstellen schn\u00fcffeln. Dar\u00fcber hinaus k\u00f6nnen Hacker deine IP-Adresse f\u00fcr betr\u00fcgerische Aktivit\u00e4ten verwenden. Im besten Fall landet deine IP-Adresse irgendwann auf einer schwarzen Liste und legitime Dienste blockieren dich aufgrund verd\u00e4chtiger Aktivit\u00e4ten. Im schlimmsten Fall klopft die Polizei an deine T\u00fcr.<\/p>\n<h2>So erkennst du ein potenziell gef\u00e4hrliches Gadget<\/h2>\n<p>Sei vorsichtig, wenn ein Ger\u00e4t:<\/p>\n<ul>\n<li>unter einer No-Name-Marke wie T95, X96Q, MX10, TV\u00a0BOX, SuperBox oder \u00e4hnlichen Namen verkauft wird<\/li>\n<li>gegen eine Einmalzahlung lebenslangen kostenlosen Zugriff auf kostenpflichtige Premium-Dienste verspricht<\/li>\n<li>bei der Erstkonfiguration dazu auffordert, Google\u00a0Play Protect zu deaktivieren oder Drittanbieter-APKs zu installieren<\/li>\n<li>keinerlei Play\u00a0Protect-Zertifizierung besitzt<\/li>\n<li>durch aggressive Spam-Kampagnen in Social Media beworben wird<\/li>\n<\/ul>\n<h2>So vermeidest du, zum Botnetz-Knoten zu werden<\/h2>\n<ul>\n<li>Kaufe eine zertifizierte TV-Box, die \u00fcber <a href=\"https:\/\/www.android.com\/certified\/partners\/\" target=\"_blank\" rel=\"noopener nofollow\">Google\u00a0Play Protect<\/a> verf\u00fcgt, oder kaufe ein Ger\u00e4t direkt bei seri\u00f6sen Telekommunikationsanbietern oder Internetprovidern.<\/li>\n<li>Isoliere alle Smart Home-Ger\u00e4te. Richte auf deinem Heimrouter ein separates WLAN-Netzwerk f\u00fcr TV-Boxen, Kameras, intelligente Lautsprecher, Staubsaugroboter und \u00e4hnliche Ger\u00e4te ein. Smartphones, NAS-Ger\u00e4te und Computer bleiben mit dem Hauptnetzwerk verbunden. Dadurch wird verhindert, dass sich Malware auf deine kritischen Ger\u00e4te ausbreitet.<\/li>\n<li>Aktualisiere regelm\u00e4\u00dfig die Firmware auf allen deinen Ger\u00e4ten. Den Router nicht vergessen\u00a0\u2013 er ist ein weiteres anf\u00e4lliges Glied in der Kette.<\/li>\n<li>Entferne von deiner Android-TV-Box alle Programme, die du nicht selbst installiert hast. Insbesondere alternative App-Stores, WLAN-Booster und \u201eSystembereiniger\u201c.<\/li>\n<li>\u00dcberwache deinen Datenverkehr. Moderne Router und <a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0k\u00f6nnen anzeigen, welche Ger\u00e4te welche Verbindungen herstellen. H\u00e4ufige Verbindungen von einem Mediaplayer zu Servern in China sind ein eindeutiges Warnsignal.<\/li>\n<li>Installiere <a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0auf allen deinen Ger\u00e4ten.\u00a0\u2013 Es sch\u00fctzt vor Trojanern und blockiert Phishing-Seiten, \u00fcber die infizierte APK-Dateien h\u00e4ufig verbreitet werden.<\/li>\n<li>Deaktiviere Google\u00a0Play\u00a0Protect nicht und installiere keine APKs aus zwielichtigen Quellen.\u00a0\u2013 Dies ist nach wie vor der prim\u00e4re Infektionsvektor, der die offiziellen App-Stores umgeht.<\/li>\n<li>Im Zweifelsfall: TV-Box zur\u00fcckschicken. Ein billiges Streaming-Ger\u00e4t ist es nicht wert, deine biometrischen Daten, Bankdaten oder den Ruf deiner IP-Adresse aufs Spiel zu setzen.<\/li>\n<\/ul>\n<blockquote><p>M\u00f6chtest du wissen, wie du deine Smart Home-Ger\u00e4te noch sch\u00fctzen kannst? Mehr dazu in unseren Artikeln zu diesem:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/smart-speaker-tv-smartphone-eavesdropping\/30825\/\" target=\"_blank\" rel=\"noopener\">H\u00f6rt Ihr Fernseher, Smartphone oder intelligenter Lautsprecher heimlich mit?<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/save-your-home-router-from-apt-residential-proxy\/32438\/\" target=\"_blank\" rel=\"noopener\">Arbeitet dein Router heimlich f\u00fcr ausl\u00e4ndische Geheimdienste?<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/vulnerability-in-smart-home-control-app\/32223\/\" target=\"_blank\" rel=\"noopener\">Smart Home \u2013 gar nicht so smart<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/smart-home-zigbee-thread-matter-advice\/29850\/\" target=\"_blank\" rel=\"noopener\">Smartes Heim, Gl\u00fcck allein<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/how-to-secure-smart-home\/29911\/\" target=\"_blank\" rel=\"noopener\">So sichern Sie Ihr Smart Home<\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Bist du sicher, dass deine Android-TV-Box nichts B\u00f6ses im Schilde f\u00fchrt? Streaming-Abos sind teuer. Aber wenn du bei Abos zu sparen versuchst, kann dein Ger\u00e4t zum Teil eines Botnetzes werden, die Box kann deine IP-Adressen vermieten und dir noch ganz andere Schwierigkeiten bereiten.<\/p>\n","protected":false},"author":2775,"featured_media":33542,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[55,274,206,747,4114,39,1027,4231,1653,1029,414,3804,257],"class_list":{"0":"post-33541","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-android","9":"tag-bedrohungen","10":"tag-botnetze","11":"tag-ddos","12":"tag-falschungen","13":"tag-google","14":"tag-internet-der-dinge","15":"tag-kaspersky-for-android","16":"tag-security","17":"tag-smart-home","18":"tag-smart-tv","19":"tag-triada","20":"tag-trojaner"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/android-tv-botnet\/33541\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/android-tv-botnet\/30731\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/android-tv-botnet\/25779\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/android-tv-botnet\/30578\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/android-tv-botnet\/41888\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/android-tv-botnet\/55799\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/android-tv-botnet\/30672\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/android-tv-botnet\/36237\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/android-tv-botnet\/36130\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/android\/","name":"android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33541","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2775"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=33541"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33541\/revisions"}],"predecessor-version":[{"id":33548,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33541\/revisions\/33548"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/33542"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=33541"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=33541"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=33541"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}