Welche Akteure hinter den Angriffen stehen, ist nicht bekannt. Adam Boynton, Senior Security Strategy Manager beim Endpoint-Security-Anbieter Jamf, mahnt zur Zurückhaltung bei Spekulationen, ordnet Googles Wortwahl aber so ein: Es sei genau die Sprache, die Google verwende, wenn die beobachtete Aktivität zu eng gefasst sei, um kriminelle Infrastruktur zu sein, aber zu zielgerichtet, um bloß opportunistisch zu wirken. Mit anderen Worten: möglicherweise ein staatlicher Akteur oder ein kommerzieller Überwachungsanbieter.
Boynton verweist auf einen Präzedenzfall: CVE-2024-43047, ein weiterer Qualcomm-Zero-Day, sei bei seiner Offenlegung mit derselben Formulierung beschrieben worden und später über das Security Lab von Amnesty International mit kommerzieller Spyware in Verbindung gebracht worden. Das sei keine Bestätigung für den aktuellen Fall, aber das Profil sei vergleichbar. Die Art, wie Google und Qualcomm die Lücke beschrieben, lasse Rückschlüsse darauf zu, womit man es ihrer Einschätzung nach zu tun habe.
Die zweite hervorstechende Schwachstelle des Monats ist CVE-2026-0047, eine als kritisch eingestufte lokale Rechteausweitung in der System-Komponente von Android. Laut Bulletin könne sie zu Remote-Code-Ausführung führen, ohne dass zusätzliche Ausführungsrechte oder eine Nutzerinteraktion nötig seien. Ursache ist eine fehlende Berechtigungsprüfung in der Methode dumpBitmapsProto der Datei ActivityManagerService.java. Die Schwereeinschätzung beruht laut Google auf der möglichen Wirkung auf ein betroffenes Gerät, sofern die Schutzmechanismen der Plattform abgeschaltet oder erfolgreich umgangen sind.
Weil ein Angreifer sich für CVE-2026-0047 bereits auf dem Gerät befinden muss, sieht Boynton darin eine spürbare Hürde – vermutlich der Grund, warum die Lücke bislang nicht aktiv ausgenutzt wurde. Sie eigne sich eher als Teil einer Angriffskette denn als eigenständiger Angriff: Zunächst verschaffe sich jemand etwa über einen Phishing-Link, eine bösartige App oder eine Remote-Code-Ausführung wie CVE-2026-0006 Zugang, um anschließend per Rechteausweitung tiefer einzudringen und sich festzusetzen. Die Frage sei weniger, ob die Lücke ausgenutzt werde, sondern ob dies sichtbar werde – solche verketteten Techniken seien schwerer zuzuordnen und träten oft erst in der nachträglichen Forensik zutage.
Patches für CVE-2026-21385 liegen vor und werden an die betroffenen OEMs verteilt, die laut Qualcomm benachrichtigt und dringend zur schnellstmöglichen Ausspielung aufgefordert wurden. Für CVE-2026-0047 stehen Korrekturen über das Android Open Source Project (AOSP) bereit.
Ein Problem bleibt: Android-Lücken wie die von Qualcomm hängen auf Verbraucherebene von den Geräteherstellern ab. Nutzer sind somit darauf angewiesen, dass der jeweilige Hersteller – nicht zwingend Google oder Qualcomm – ein betroffenes Gerät mit einem Patch versorgt, selbst wenn dieser bereits zur Offenlegung verfügbar war. Qualcomm fordert Kunden in seinem Bulletin auf, sich für den Patch-Status ausgelieferter Geräte an den jeweiligen Gerätehersteller zu wenden.
