Android-Nutzer im Visier: Neue Malware umgeht WhatsApp-Verschlüsselung

US-Behörden schlagen Alarm: Hochentwickelte Schadsoftware hebelt den Schutz verschlüsselter Messenger aus.

Eine neue Generation von Android-Schadsoftware zwingt Millionen WhatsApp-Nutzer zum Handeln. Die US-Cybersicherheitsbehörde CISA warnte diese Woche eindringlich: Die Ende-zu-Ende-Verschlüsselung beliebter Messenger bietet keinen ausreichenden Schutz mehr, wenn das Smartphone selbst kompromittiert ist. Während Nutzer sich in falscher Sicherheit wiegen, greifen Kriminelle direkt auf dem Display abgefangene Nachrichten ab.

Die Bedrohung trägt Namen wie „Sturnus” und „ToxicPanda” – und sie verbreitet sich rasant. Doch was macht diese Malware so gefährlich? Anders als klassische Viren versuchen diese Programme gar nicht erst, die Verschlüsselung zu knacken. Stattdessen nutzen sie einen cleveren Umweg: Sie lesen mit, sobald Nachrichten auf dem Bildschirm erscheinen.

Am 27. November veröffentlichte die US-Cybersicherheitsbehörde CISA eine hochrangige Warnung. Die Bundesagentur stellte klar: Cyberkriminelle setzen zunehmend professionelle Überwachungswerkzeuge ein, um verschlüsselte Kommunikation über WhatsApp, Signal und andere Messenger abzufangen.

Die Angreifer wählen dabei einen perfiden Ansatz. Sie umgehen die Verschlüsselung vollständig, indem sie das Smartphone selbst zur Wanze machen. Sobald eine Nachricht entschlüsselt auf dem Display angezeigt wird, greift die Schadsoftware zu.

Viele Android‑Nutzer unterschätzen das Risiko – besonders bei Sideloading und missbräuchlichen Bedienungshilfen, wie die CISA‑Warnung zu Sturnus und ToxicPanda zeigt. Das kostenlose Sicherheitspaket erklärt praxisnah die fünf wichtigsten Schutzmaßnahmen: Sideloading deaktivieren, Bedienungshilfen prüfen, Updates einspielen, vertrauenswürdige Apps wählen und Phishing‑Links erkennen. Die Schritt‑für‑Schritt-Anleitungen und Checklisten funktionieren ohne teure Zusatz‑Apps und schützen WhatsApp, Online‑Banking und Ihre persönlichen Daten sofort. Jetzt kostenloses Android‑Sicherheitspaket herunterladen

„Die Hacker versuchen gar nicht, die Ende-zu-Ende-Verschlüsselung der Apps zu brechen”, erklären Sicherheitsexperten. „Sie kompromittieren direkt das Gerät und nutzen Bedienungshilfen aus, um Daten im Moment ihrer Anzeige abzugreifen.”

Sturnus: Der heimliche Bildschirm-Spion

Die CISA-Warnung kam nicht von ungefähr. Seit dem 20. November dominiert eine besonders raffinierte Schadsoftware die Schlagzeilen: Sturnus. Das Sicherheitsunternehmen ThreatFabric deckte die Bedrohung in einem technischen Bericht auf – seitdem schrillen weltweit die Alarmglocken.

Was Sturnus so gefährlich macht? Die Malware missbraucht Androids Bedienungshilfen – eigentlich eine Funktion für Menschen mit Behinderungen. Einmal aktiviert, erhält die Schadsoftware weitreichende Kontrolle:

• Bildschirminhalte auslesen: Jede WhatsApp-, Signal- oder Telegram-Nachricht wird mitgelesen, sobald sie auf dem Display erscheint.
• Tastatureingaben protokollieren: Banking-Passwörter und Zwei-Faktor-Codes landen direkt bei den Angreifern.
• Gefälschte Fenster einblenden: Täuschend echte Login-Masken erscheinen über Banking-Apps, um Zugangsdaten abzufangen.

Wie gelangt Sturnus auf die Geräte? Über Phishing-Kampagnen und manipulierte APK-Dateien, die als legitime App-Updates getarnt sind. Berichte von BleepingComputer und The Hacker News zeigen: Nach der Installation verbindet sich die Malware mit einem Kommandoserver. Von dort aus können Angreifer das infizierte Smartphone fernsteuern.

ToxicPanda verbreitet sich wie ein Wurm

Parallel zu Sturnus macht eine weitere Bedrohung Schlagzeilen: ToxicPanda. Diese Banking-Malware, die Sicherheitsforscher von Cleafy im November identifizierten, wütet vor allem in Europa und Lateinamerika.

Das Besondere an ToxicPanda? Die Schadsoftware verbreitet sich wurmartig über WhatsApp. Sie verschickt bösartige Links an alle Kontakte des Opfers – ein digitaler Schneeballeffekt. Noch alarmierender: ToxicPanda kann direkt vom infizierten Smartphone aus Geldtransfers durchführen.

„Die Malware umgeht Sicherheitsmaßnahmen der Banken, die auf Identitätsverifikation setzen”, warnen die Forscher. Da die betrügerischen Überweisungen vom legitimen Gerät des Opfers ausgehen, schlagen klassische Betrugserkennungssysteme nicht an. Die Bank kann kaum zwischen echtem Nutzer und Malware unterscheiden.

Google reagiert auf wachsende Panik

Angesichts der Aufregung meldete sich Google am 25. November zu Wort. Der Konzern versuchte zu beschwichtigen: „Basierend auf unseren aktuellen Erkennungen befinden sich keine Apps mit dieser Malware im Google Play Store”, erklärte ein Sprecher gegenüber Android Authority.

Android-Nutzer seien durch Google Play Protect automatisch geschützt – zumindest gegen bekannte Varianten. Der Dienst ist standardmäßig auf allen Android-Geräten mit Google-Diensten aktiviert.

Die entscheidende Einschränkung folgt auf dem Fuß: Der Hauptinfektionsweg bleibt das Sideloading – die Installation von Apps aus Drittquellen außerhalb des Play Stores. Wer Apps von zwielichtigen Webseiten lädt, öffnet Tür und Tor.

So schützen Sie Ihr Smartphone

Die CISA-Warnung gilt seit dem 27. November. Experten raten allen Android-Nutzern zu sofortigen Schutzmaßnahmen:

1. Sideloading deaktivieren: Blockieren Sie in den Einstellungen die Installation aus unbekannten Quellen. Diese Maßnahme stoppt die meisten Infektionswege.

2. Bedienungshilfen überprüfen: Navigieren Sie zu Einstellungen > Bedienungshilfen und kontrollieren Sie, welche Apps Zugriff haben. Warum sollte eine Taschenrechner-App Ihr Display auslesen dürfen? Im Zweifel sofort deinstallieren.

3. Updates einspielen: Halten Sie Android und WhatsApp auf dem neuesten Stand. Sicherheitspatches schließen oft genau die Lücken, die Spionagesoftware ausnutzt.

4. Links hinterfragen: Seien Sie misstrauisch bei unerwarteten Links in WhatsApp – selbst von bekannten Kontakten. Deren Geräte könnten bereits von wurmartiger Malware befallen sein.

Verschmelzende Bedrohungen

Das Jahr 2025 endet turbulent für die mobile Sicherheit. Die Grenzen zwischen staatlich geförderter Spionage und kriminellen Banking-Trojanern verschwimmen zunehmend. Werkzeuge, die ursprünglich für Geheimdienste entwickelt wurden, landen immer häufiger in den Händen gewöhnlicher Cyberkrimineller.

„Wir erleben eine gefährliche Konvergenz”, warnen Branchenanalysten. „Technologien aus der staatlichen Überwachung werden zum Werkzeug für Finanzbetrug. Normale Nutzer geraten zwischen die Fronten.”

Für die Zukunft erwarten Experten strengere Beschränkungen bei Androids Bedienungshilfen. Google und andere Hersteller stehen unter Druck, diese mächtige Funktion besser zu schützen – ohne Menschen mit Behinderungen auszuschließen. Ein schmaler Grat zwischen Sicherheit und Barrierefreiheit.

Wer den Verdacht hat, dass das eigene Gerät kompromittiert wurde, sollte umgehend die Internetverbindung trennen und professionelle technische Hilfe suchen. Die vermeintliche Sicherheit verschlüsselter Messenger reicht längst nicht mehr aus, wenn das Smartphone selbst zur Schwachstelle wird.

PS: Sie möchten das Risiko weiter minimieren? Der Gratis‑Ratgeber liefert zusätzlich leicht umsetzbare Einstellungen und eine Prüfliste, mit der Sie verdächtige APKs erkennen und Bedienungshilfen sicher konfigurieren – damit Schadsoftware wie ToxicPanda gar nicht erst Fuß fasst. Ideal für WhatsApp‑ und Mobile‑Banking‑Nutzer: praxisnahe Checklisten, klar strukturierte Schritte und sofort anwendbare Tipps. Gratis‑Sicherheits‑Guide für Android anfordern