Albiriox: Neue Android-Malware umgeht WhatsApp-Verschlüsselung

Ein neuer Android-Schädling macht Ende-zu-Ende-Verschlüsselung wertlos – indem er einfach den Bildschirm mitfilmt. Was bedeutet das für Millionen Nutzer sicherer Messenger?

Die Cybersecurity-Firma Cleafy warnt vor “Albiriox”, einer hochentwickelten Malware, die seit dieser Woche für Aufsehen sorgt. Der Clou: Statt aufwendig Verschlüsselung zu knacken, streamt die Software einfach den Handy-Bildschirm in Echtzeit zu Angreifern. Private WhatsApp-Chats, Signal-Nachrichten oder Banking-Apps – alles wird lesbar, sobald es auf dem Display erscheint.

Die Forscher veröffentlichten ihre Erkenntnisse am Donnerstag und sprechen von einer “erheblichen Weiterentwicklung mobiler Bedrohungen”. Über 400 Anwendungen stehen im Visier der Kriminellen, darunter große Banken, Krypto-Wallets und verschlüsselte Messenger-Dienste.

Viele Android-Nutzer unterschätzen, wie leicht Bildschirm‑Spionage, gefälschte Apps und unkritische Berechtigungen Zugang zu Bankdaten, WhatsApp‑Chats und 2FA‑Codes geben. Unser kostenloses Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen Schritt für Schritt — von geprüften App‑Quellen über Bedienhilfen‑Checks bis zu VNC‑Erkennung. So schließen Sie die Lücken, die Albiriox & Co. ausnutzen. Ideal für alle, die WhatsApp, Mobile‑Banking oder Online‑Shopping nutzen; inkl. Checklisten und sofort per E‑Mail. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Hinter Albiriox steckt vermutlich eine russischsprachige Hackergruppe, die ihre Malware als “Malware-as-a-Service” anbietet. Für umgerechnet 560 Euro monatlich können Cyberkriminelle das Werkzeug mieten – eine niedrige Einstiegshürde, die Experten als besorgniserregend einstufen.

Das besonders Perfide: Albiriox nutzt einen VNC-Zugang (Virtual Network Computing), mit dem Angreifer nicht nur zusehen, sondern das infizierte Gerät auch fernsteuern können. Während ältere Banking-Trojaner auf gefälschte Login-Masken setzten, beobachten die Hintermänner nun direkt, was Nutzer auf ihrem Bildschirm sehen und eintippen.

Ende-zu-Ende-Verschlüsselung schützt Nachrichten während der Übertragung – doch was nützt das, wenn Kriminelle direkt auf dem Endgerät mitlesen? Albiriox missbraucht die “Bedienungshilfen” von Android, eine eigentlich für Menschen mit Behinderungen gedachte Funktion.

Mit dieser Berechtigung kann die Malware:
* Private Chats mitlesen, sobald sie auf dem Display erscheinen
* 2FA-Codes abgreifen, direkt nach deren Ankunft per SMS
* Passwörter aufzeichnen, während der Nutzer sie eintippt

Die Verschlüsselung wird nicht geknackt – sie wird schlicht umgangen. Daten werden abgegriffen, nachdem sie für den Nutzer entschlüsselt wurden oder bevor sie verschickt werden.

Besonders perfide ist eine aktuell laufende Kampagne, die gezielt österreichische Nutzer attackiert. Die Betrüger locken mit einer gefälschten Version der “Penny Markt”-App. Der Ablauf folgt einem bewährten Muster:

Opfer erhalten eine SMS mit verlockenden Angeboten – etwa Rabattaktionen oder Paketbenachrichtigungen. Der enthaltene Link führt zu einer täuschend echten Nachbildung des Google Play Store. Wer die App herunterlädt, installiert zunächst einen “Dropper”, der im Hintergrund die eigentliche Schadsoftware nachlädt.

Die Malware fordert dann die Berechtigung zum “Installieren unbekannter Apps” an – ein Warnsignal, das viele Nutzer übersehen oder ignorieren.

Die Enthüllung von Albiriox reiht sich ein in eine Serie ähnlicher Entdeckungen Ende November 2025. Nur drei Tage zuvor machte bereits “Sturnus” Schlagzeilen – eine ebenfalls auf Bildschirm-Überwachung spezialisierte Malware.

ThreatFabric hatte Sturnus bereits am 20. November analysiert, doch erst diese Woche schlugen die Warnungen richtig hohe Wellen. Auch dieser Schädling zielt auf verschlüsselte Chats in Telegram und WhatsApp ab, ohne die Verschlüsselung selbst angreifen zu müssen.

Die Häufung dieser Fälle deutet auf einen Strategiewechsel bei Android-Malware hin: Statt komplexe Verschlüsselung zu brechen, setzen Entwickler verstärkt auf simples Screen-Scraping und Fernzugriff.

Google hat auf die wachsende Bedrohung reagiert und Play Protect weiter verfeinert. Der Schutz erkennt bekannte Varianten dieser Malware-Familien und warnt Nutzer vor der Installation.

Sicherheitsexperten empfehlen dringend:
* Keine Apps aus dubiosen Quellen installieren – insbesondere nicht über SMS-Links
* Berechtigungen kritisch prüfen: Fordert eine App “Bedienungshilfen”, ohne offensichtlichen Grund? Finger weg!
* Quelle verifizieren: Ist die Download-Seite wirklich der echte Play Store oder nur eine nachgebaute Webseite?

Die Verfügbarkeit von Albiriox als Miet-Malware lässt nichts Gutes erahnen. Cleafy warnt: “Der schnelle Übergang von privater Beta zur öffentlichen Vermietung zeigt, dass sich Albiriox als dominantes Betrugs-Werkzeug positionieren will.”

Banken und Messenger-Dienste stehen unter Druck, neue Abwehrmechanismen zu entwickeln. Denkbar wären Funktionen, die Bildschirmaufnahmen während sensibler Transaktionen blockieren oder aktive VNC-Verbindungen erkennen.

Klar ist: Die Zeiten, in denen Ende-zu-Ende-Verschlüsselung allein als ausreichender Schutz galt, könnten vorbei sein. Die größte Schwachstelle sitzt mittlerweile zwischen Smartphone und Stuhl – und genau dort setzen die neuen Angreifer an.

PS: Wenn Sie verhindern wollen, dass Kriminelle Ihren Bildschirm streamen oder per Dropper Schadsoftware nachladen, hilft ein kompakter Leitfaden mit sofort umsetzbaren Tipps. Das Gratis‑Sicherheitspaket zeigt die wichtigsten Einstellungen, erklärt, wann Sie Berechtigungen entziehen sollten und liefert eine einfache Checkliste für WhatsApp, Banking‑Apps und gefälschte Store‑Seiten. Sofort per E‑Mail, leicht verständlich. Gratis Android‑Sicherheitspaket anfordern