May 16, 2026 16. Mai 2026 · AppXpose · Spyware · Android Privacy · Warning Signs · Permissions · App Surveillance

9 Warning Signs Your Android App Is Spying on You 9 Warnsignale, dass deine Android App dich ausspioniert

Is your Android app spying on you? Here are 9 concrete warning signs to look for, from suspicious permissions to unexpected battery drain. Spioniert deine Android App dich aus? Hier sind 9 konkrete Warnsignale die du kennen solltest.

Most spyware does not announce itself. It does not flash a warning or change your wallpaper. It sits inside apps that look normal and behave normally most of the time. The signs are subtle, and they only become obvious once you know what to look for.

Here are nine of them.

1. The App Requests Permissions It Does Not Need

Camera on a flashlight. Microphone on a calculator. Contacts on a weather app. If an app asks for access to something unrelated to its core function, that is the single clearest warning sign.

Permission creep happens because developers import SDKs that request broad permissions by default. The developer may not even realize the library they added for crash reporting also declared microphone access in the manifest. But the result is the same: your microphone is accessible to code you did not choose to trust.

We wrote a detailed breakdown of how to evaluate permission requests and what the common traps are. The short version: if the permission does not match the feature, something is wrong.

2. Your Battery Drains Faster Than Usual

Background processes that continuously send data drain your battery. A well-built app uses almost no power when you are not actively using it. If your battery started dropping faster without any obvious change in your habits, something is running when it should not be.

This is not a definitive signal on its own. A poorly optimized game or a stuck sync process can do the same thing. But combined with other signs on this list, unexpected battery drain is worth investigating. Check Settings > Battery > Battery Usage to see which apps consumed the most since your last charge.

3. Your Phone Gets Warm When Idle

CPU activity generates heat. When your phone is sitting on a desk and feels warm to the touch, something is working in the background. Normal idle state should produce no noticeable heat.

Spyware that continuously collects sensor data, records audio, or transmits location updates keeps the CPU engaged. If you notice heat without active use, check your running processes and recent battery stats. The combination of heat and battery drain is a stronger signal than either one alone.

4. Unusual Data Usage Spikes

Go to Settings > Network > Data Usage and look at per-app consumption. If an app that should not need much data is consuming hundreds of megabytes, it is sending something you did not ask it to send.

A notes app using 500MB of mobile data per month has no legitimate explanation. A calculator that consumes any measurable amount of background data is suspicious. The numbers do not lie. Apps that exfiltrate data need a network connection to do it, and data usage is the one metric they cannot hide.

5. The Privacy Label Does Not Match the Permissions

Google’s Data Safety section on every Play Store listing is self-reported. Developers fill out a form declaring what data they collect. Google does not verify any of it. Mozilla’s 2023 audit found that these labels were inaccurate or misleading in roughly 80% of cases.

If an app’s Data Safety section says “no data collected” but the app holds microphone and location permissions, those two facts cannot both be true. One of them is wrong, and it is usually the label. We covered what four independent studies found about app store privacy claims in detail.

6. The App Was Not Downloaded From Google Play

Sideloaded APKs bypass whatever store review exists. An APK someone sent you on WhatsApp, a download link on a website, an app that asked you to enable “Install from unknown sources” before it would install. All of these skip the only automated check between you and untested code.

Repackaged apps are a common tactic. They look identical to the original but contain extra code injected before redistribution. AppXpose includes APK integrity checks that detect repackaged and tampered apps by comparing signing certificates against a crowdsourced database.

7. Unknown SDKs in the Bytecode

This is the most technically reliable signal and the one you cannot check without a scanner.

Apps contain compiled code from third-party SDKs. Some of those SDKs are well-known tracker libraries. Others are not in any public database. In the AppXpose corpus, apps with unknown SDKs average 6.6 trackers per app. That is roughly three times the average for apps containing only known advertising SDKs.

Unknown does not automatically mean malicious. But it means the code has not been publicly audited, documented, or categorized by any independent research group. You can explore the full research data and category breakdowns to see how tracker density varies across app categories.

8. The App Requests Boot Permission

RECEIVE_BOOT_COMPLETED is an Android permission that lets an app start automatically every time you power on your phone. Most apps have no legitimate reason for this. A calculator does not need to start at boot. A photo editor does not need to start at boot.

In our corpus, 75% of news apps request boot permission. The stated reason is usually “to refresh content” or “to deliver notifications.” But the practical effect is that the app and all its tracker SDKs begin running the moment your phone turns on, whether you open the app or not.

If you find an app with boot permission that does not need it, revoke the permission or consider replacing the app.

9. The Developer Has Multiple Copycat Apps

Search the developer name on the Play Store. If they have 20 nearly identical apps with slightly different names, icons, and descriptions, that is a distribution pattern, not a product line.

Volume app publishing is a common tactic for maximizing ad impressions and tracker installs. Each app is a thin wrapper around the same SDK bundle. The developer makes money from the tracking libraries, not from the app itself. If the developer profile looks like an app factory, the apps are probably built like one.

What to Do Next

None of these signs alone is definitive. Battery drain can be a bug. Warm phones can be a hardware issue. One unnecessary permission might be a developer’s oversight.

But the combination matters. An app with three or more of these signs deserves a closer look. The most reliable check is scanning the APK directly to see what code is actually bundled inside. If you want to understand what spyware looks like on Android and how to remove it, we covered that separately.

If you want to check your own apps, AppXpose is free on Google Play. Five scans a week, full results, no account required. The scan takes three seconds and shows you everything the Play Store listing does not.

Die meiste Spyware kündigt sich nicht an. Sie zeigt keine Warnung und ändert nicht dein Hintergrundbild. Sie sitzt in Apps, die normal aussehen und sich die meiste Zeit normal verhalten. Die Anzeichen sind subtil und werden erst offensichtlich, wenn man weiß, worauf man achten muss.

Hier sind neun davon.

1. Die App fordert Berechtigungen an, die sie nicht braucht

Kamera bei einer Taschenlampe. Mikrofon bei einem Taschenrechner. Kontakte bei einer Wetter-App. Wenn eine App Zugriff auf etwas verlangt, das nichts mit ihrer Kernfunktion zu tun hat, ist das das klarste Warnsignal überhaupt.

Berechtigungs-Schleicherei passiert, weil Entwickler SDKs importieren, die standardmäßig breite Berechtigungen anfordern. Der Entwickler merkt vielleicht nicht einmal, dass die Bibliothek, die er für Absturz-Berichte hinzugefügt hat, auch Mikrofon-Zugriff im Manifest deklariert. Aber das Ergebnis ist dasselbe: Dein Mikrofon ist für Code zugänglich, dem du nie bewusst vertraut hast.

Wir haben eine ausführliche Aufschlüsselung geschrieben, wie man Berechtigungsanfragen bewertet und welche typischen Fallen es gibt. Die Kurzversion: Wenn die Berechtigung nicht zur Funktion passt, stimmt etwas nicht.

2. Dein Akku entlädt sich schneller als üblich

Hintergrundprozesse, die kontinuierlich Daten senden, belasten deinen Akku. Eine gut gebaute App verbraucht fast keine Energie, wenn du sie nicht aktiv nutzt. Wenn dein Akku plötzlich schneller leer ist, ohne dass du deine Gewohnheiten geändert hast, läuft etwas, das nicht laufen sollte.

Das ist allein kein definitives Signal. Ein schlecht optimiertes Spiel oder ein festgefahrener Sync-Prozess kann dasselbe verursachen. Aber in Kombination mit anderen Zeichen auf dieser Liste ist unerwarteter Akkuverbrauch eine Untersuchung wert. Prüfe unter Einstellungen > Akku > Akkuverbrauch, welche Apps seit der letzten Ladung am meisten verbraucht haben.

3. Dein Handy wird warm, obwohl es im Leerlauf ist

CPU-Aktivität erzeugt Wärme. Wenn dein Handy auf dem Tisch liegt und sich warm anfühlt, arbeitet etwas im Hintergrund. Im normalen Leerlauf sollte keine spürbare Wärme entstehen.

Spyware, die kontinuierlich Sensordaten sammelt, Audio aufzeichnet oder Standort-Updates überträgt, hält die CPU beschäftigt. Wenn du Wärme ohne aktive Nutzung bemerkst, prüfe deine laufenden Prozesse und den Akkuverbrauch. Die Kombination aus Wärme und Akkuverbrauch ist ein stärkeres Signal als jedes einzeln.

4. Ungewöhnliche Datenverbrauchs-Spitzen

Geh zu Einstellungen > Netzwerk > Datenverbrauch und schau dir den Verbrauch pro App an. Wenn eine App, die nicht viel Daten brauchen sollte, Hunderte von Megabytes verbraucht, sendet sie etwas, das du nicht veranlasst hast.

Eine Notiz-App, die 500MB mobile Daten pro Monat nutzt, hat keine legitime Erklärung. Ein Taschenrechner, der messbaren Hintergrunddatenverbrauch hat, ist verdächtig. Die Zahlen lügen nicht. Apps, die Daten abgreifen, brauchen eine Netzwerkverbindung dafür, und der Datenverbrauch ist die eine Metrik, die sie nicht verstecken können.

5. Das Datenschutz-Label passt nicht zu den Berechtigungen

Googles Data-Safety-Bereich auf jedem Play-Store-Eintrag ist selbst angegeben. Entwickler füllen ein Formular aus, in dem sie deklarieren, welche Daten sie sammeln. Google verifiziert nichts davon. Mozillas Audit von 2023 fand heraus, dass diese Labels in etwa 80% der Fälle ungenau oder irreführend waren.

Wenn der Data-Safety-Bereich einer App “keine Daten erhoben” sagt, die App aber Mikrofon- und Standort-Berechtigungen hat, können diese beiden Fakten nicht beide wahr sein. Eine davon ist falsch, und es ist meistens das Label. Wir haben ausführlich beschrieben, was vier unabhängige Studien über App-Store-Datenschutz-Behauptungen herausgefunden haben.

6. Die App wurde nicht aus Google Play heruntergeladen

Per Sideload installierte APKs umgehen jede Store-Prüfung. Eine APK, die jemand dir per WhatsApp geschickt hat, ein Download-Link auf einer Website, eine App, die dich bat, “Installation aus unbekannten Quellen” zu aktivieren. All das umgeht die einzige automatisierte Prüfung zwischen dir und ungetestetem Code.

Umgepackte Apps sind eine gängige Taktik. Sie sehen identisch aus wie das Original, enthalten aber zusätzlichen Code, der vor der Weiterverbreitung injiziert wurde. AppXpose enthält APK-Integritätsprüfungen, die umgepackte und manipulierte Apps erkennen, indem Signatur-Zertifikate gegen eine Crowdsourced-Datenbank abgeglichen werden.

7. Unbekannte SDKs im Bytecode

Das ist das technisch zuverlässigste Signal und dasjenige, das man ohne Scanner nicht prüfen kann.

Apps enthalten kompilierten Code von Drittanbieter-SDKs. Einige dieser SDKs sind bekannte Tracker-Bibliotheken. Andere sind in keiner öffentlichen Datenbank verzeichnet. Im AppXpose-Korpus haben Apps mit unbekannten SDKs durchschnittlich 6,6 Tracker pro App. Das ist etwa dreimal so viel wie der Durchschnitt bei Apps, die nur bekannte Werbe-SDKs enthalten.

Unbekannt heißt nicht automatisch bösartig. Aber es bedeutet, dass der Code von keiner unabhängigen Forschungsgruppe öffentlich geprüft, dokumentiert oder kategorisiert wurde. Du kannst die vollständigen Forschungsdaten und Kategorie-Aufschlüsselungen durchsuchen, um zu sehen, wie sich die Tracker-Dichte über App-Kategorien verteilt.

8. Die App fordert Boot-Berechtigung an

RECEIVE_BOOT_COMPLETED ist eine Android-Berechtigung, die einer App erlaubt, automatisch zu starten, jedes Mal wenn du dein Handy einschaltest. Die meisten Apps haben keinen legitimen Grund dafür. Ein Taschenrechner muss nicht beim Booten starten. Ein Fotoeditor muss nicht beim Booten starten.

In unserem Korpus fordern 75% der Nachrichten-Apps Boot-Berechtigung an. Der angegebene Grund ist meist “um Inhalte zu aktualisieren” oder “um Benachrichtigungen zu liefern.” Aber der praktische Effekt ist, dass die App und alle ihre Tracker-SDKs in dem Moment laufen, in dem dein Handy eingeschaltet wird, ob du die App öffnest oder nicht.

Wenn du eine App mit Boot-Berechtigung findest, die sie nicht braucht, entziehe die Berechtigung oder erwäge, die App zu ersetzen.

9. Der Entwickler hat mehrere Klon-Apps

Suche den Entwicklernamen im Play Store. Wenn er 20 fast identische Apps mit leicht unterschiedlichen Namen, Symbolen und Beschreibungen hat, ist das ein Verteilungsmuster, keine Produktlinie.

Massen-App-Publishing ist eine gängige Taktik, um Werbeeinblendungen und Tracker-Installationen zu maximieren. Jede App ist eine dünne Hülle um dasselbe SDK-Bündel. Der Entwickler verdient an den Tracking-Bibliotheken, nicht an der App selbst. Wenn das Entwicklerprofil wie eine App-Fabrik aussieht, sind die Apps wahrscheinlich auch so gebaut.

Was du als Nächstes tun solltest

Keines dieser Zeichen allein ist definitiv. Akkuverbrauch kann ein Bug sein. Warme Handys können ein Hardware-Problem sein. Eine unnötige Berechtigung könnte ein Versehen des Entwicklers sein.

Aber die Kombination zählt. Eine App mit drei oder mehr dieser Zeichen verdient einen genaueren Blick. Die zuverlässigste Prüfung ist, die APK direkt zu scannen, um zu sehen, welcher Code tatsächlich drin steckt. Wenn du verstehen möchtest, wie Spyware auf Android aussieht und wie man sie entfernt, haben wir das separat behandelt.

Wenn du deine eigenen Apps prüfen willst: AppXpose ist kostenlos im Google Play Store. Fünf Scans pro Woche, vollständige Ergebnisse, kein Account nötig. Der Scan dauert drei Sekunden und zeigt dir alles, was der Play-Store-Eintrag nicht zeigt.