Android-Malware umgeht WhatsApp-Verschlüsselung durch Bildschirmauslese

Sicherheitsforscher schlagen Alarm: Die neuen Trojaner “Albiriox” und “Sturnus” übernehmen die volle Kontrolle über Android-Smartphones. Ihr perfider Trick: Sie lesen verschlüsselte Messenger-Nachrichten direkt vom Bildschirm ab – nachdem das Gerät sie bereits entschlüsselt hat.

Ende November 2025 markiert einen beunruhigenden Wendepunkt in der Smartphone-Sicherheit. Die US-Cybersicherheitsbehörde CISA warnte diese Woche explizit vor den neuen Bedrohungen. Beliebte Messenger wie WhatsApp und Signal stehen im Zentrum der Angriffe. Die Ende-zu-Ende-Verschlüsselung? Praktisch wertlos gegen diese neue Generation von Malware.

Die Sicherheitsfirma Cleafy identifizierte am 27. November Albiriox als gefährlichsten Neuzugang. Der Remote Access Trojaner wird im Darknet als “Malware-as-a-Service” für rund 650 US-Dollar monatlich vermietet. Das Geschäftsmodell senkt die Einstiegshürde für Kriminelle drastisch.

Albiriox zielt auf über 400 Finanz-Apps und Krypto-Wallets ab. Die integrierte VNC-Funktion erlaubt Angreifern die Echtzeit-Fernsteuerung des Smartphones – als hielten sie es selbst in der Hand. Das Opfer bemerkt davon oft nichts.

Viele Android-Nutzer übersehen genau die Lücke, die Albiriox & Co. ausnutzen: missbrauchte Bedienungshilfen und zu freizügige App-Berechtigungen. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android Schritt für Schritt – von der Kontrolle der Accessibility-Settings über Play Protect bis zur sicheren App-Installation. Mit praktischen Checklisten schützen Sie WhatsApp, Banking-Apps und 2FA-Codes effektiv vor Bildschirmspionage. Gratis-Sicherheitspaket für Android jetzt herunterladen

Sturnus knackt Messenger durch Bildschirmspionage

ThreatFabric warnte am 20. November vor Sturnus, einem Banking-Trojaner mit neuem Ansatz. Statt die Verschlüsselung anzugreifen, liest Sturnus den Bildschirminhalt aus – nachdem WhatsApp, Telegram oder Signal die Nachricht bereits entschlüsselt und angezeigt haben.

Die Malware fängt so 2FA-Codes, Chat-Nachrichten und Banking-TANs ab. Die eigentlich sichere Verschlüsselung? Sie schützt nur den Transportweg, nicht das Gerät selbst.

Das perfide Einfallstor: Bedienungshilfen

Beide Trojaner missbrauchen die Android Accessibility Services. Diese Bedienungshilfen sind für Menschen mit Einschränkungen gedacht – ermöglichen aber auch den “God Mode” für Angreifer:

• Chat-Spionage: Direktes Ablesen eingehender WhatsApp-Nachrichten vom Bildschirm
• Geister-Eingaben: Simulation von Klicks für Überweisungen oder Einstellungsänderungen
• Black Screen Attack: Bildschirm wird schwarz geschaltet, während im Hintergrund Konten geplündert werden

Die Malware erschleicht sich die Berechtigung unter falschen Vorwänden. Getarnt als System-Update, Google Chrome oder – wie bei Albiriox beobachtet – als Rabatt-App von “Penny Market”.

CISA warnt vor Selbstverbreitung via WhatsApp

Die US-Behörde CISA verschärfte am 25. November ihre Warnung. Kritisch: Die Selbstverbreitung der Malware über gekaperte Konten. Infizierte Geräte senden automatisch schädliche Links an die gesamte Kontaktliste.

Da die Nachricht vom vertrauten Kontakt kommt, klicken die Empfänger oft arglos. Die Infektionskette beschleunigt sich exponentiell.

Häufige Infektionswege:

• SMS mit gefälschten Paketverfolgungen
• Pop-ups auf Webseiten über “veraltete” Browser
• App-Installation außerhalb des Play Stores

Europa im Visier: Besonders Italien und Spanien betroffen

Berichte dokumentieren verstärkte Aktivitäten in Italien, Spanien und Portugal. Auch in Österreich verbreitet sich Albiriox über gefälschte Retail-Apps. Die Weihnachtszeit mit ihren Paket-Lieferungen und Rabatt-Aktionen bietet den Kriminellen ideale Bedingungen.

Experten beobachten eine qualitative Verschiebung: Weg von Massenangriffen, hin zu gezielter Spionage. Die CISA vermutet, dass die Tools zunehmend gegen hochrangige Ziele eingesetzt werden. Die Grenzen zwischen Cyberkriminalität und staatlicher Spionage verschwimmen.

So schützen Sie sich

Nur Play Store nutzen: Deaktivieren Sie “Installation aus unbekannten Quellen” in den Einstellungen. Sideloading bleibt das größte Risiko.

Bedienungshilfen prüfen: Wenn eine Taschenlampen-App oder ein PDF-Reader Zugriff auf Accessibility Services verlangt, sofort ablehnen und deinstallieren.

Play Protect aktivieren: Google hat seine Erkennungsalgorithmen bereits aktualisiert. Stellen Sie sicher, dass der Schutz aktiv ist.

Links misstrauen: Selbst bei Nachrichten von Freunden gilt: Im Zweifel anrufen statt klicken. “Schau mal dieses Foto von dir” könnte eine Falle sein.

Die neue Malware übernimmt die Kontrolle aggressiv und zielgerichtet. Wachsamkeit bei App-Berechtigungen ist nicht mehr optional – sie ist überlebenswichtig für Ihre digitale Sicherheit.

PS: Wenn Sie regelmäßig Messenger, Online-Banking oder Mobile Payments nutzen, hilft Ihnen ein kompakter Leitfaden, gefährliche Apps schneller zu erkennen und Bedienungshilfen richtig zu prüfen. Der kostenlose Ratgeber enthält eine sofort anwendbare Checkliste und einfache Anleitungen, wie Sie Ihr Android gegen Bildschirmspionage und VNC-Übernahmen absichern. Sichern Sie sich die Schritt-für-Schritt-Hilfe per E‑Mail. Jetzt kostenloses Android-Schutzpaket sichern