Eternidade-Malware: WhatsApp-Wurm greift Banking-Apps an

WhatsApp Desktop wird zum Einfallstor für Datendiebe. Sicherheitsforscher von Trustwave SpiderLabs warnen vor einem raffiniert programmierten Schädling, der Banking-Apps und Krypto-Wallets ausspioniert.

Die “Eternidade”-Malware verbreitet sich über persönliche Kontakte und nutzt dabei eine perfide Taktik: Sie kapert WhatsApp Desktop und verschickt automatisch manipulierte Nachrichten. Die Kampagne hat in den letzten 48 Stunden massiv zugelegt – Telemetriedaten zeigen bereits Verbindungen aus über 30 Ländern.

Was die Schadsoftware besonders gefährlich macht: Sie kombiniert aggressive Verbreitung mit hochspezialisiertem Datendiebstahl. Während ein Python-Wurm für die Ausbreitung sorgt, scannt eine zweite Komponente im Hintergrund nach Finanz-Apps.

Viele WhatsApp‑Nutzer unterschätzen, wie Angriffe über verknüpfte Geräte starten – gerade wenn Banking‑Apps und Krypto‑Wallets betroffen sind. Ein kostenloser Ratgeber erklärt die fünf wichtigsten Schutzmaßnahmen für Android: sichere Einstellungen, Verknüpfungen prüfen, regelmäßige Updates, geprüfte App‑Quellen und einfache Schritte gegen Overlay‑Angriffe. Schützen Sie Ihre Konten, bevor Kriminelle zuschlagen. Jetzt kostenloses Android-Sicherheitspaket anfordern

Die Attacke startet meist mit einer getarnten Datei – angebliche Dokumente oder Medien, die per WhatsApp geteilt werden. Öffnet ein Nutzer diese auf einem Windows-PC, läuft ein verschleiertes VBScript an.

Dieses Skript lädt zwei separate Schadprogramme nach:

• WhatsApp-Wurm in Python programmiert
• Eternidade Stealer in Delphi geschrieben

Der Wechsel zu Python und Delphi ist kein Zufall. Die Entwickler passen ihre Werkzeuge gezielt an, um moderne Sicherheitssoftware zu umgehen. Klassische PowerShell-Skripte würden heute zu schnell auffliegen.

Intelligente Kontakt-Filterung statt Massenversand

Besonders raffiniert: Der Wurm verschickt nicht blind Nachrichten an alle Kontakte. Stattdessen analysiert er die WhatsApp-Liste und wendet “Smart Filtering” an.

Gruppenchats und geschäftliche Nummern werden bewusst ausgelassen. Die Malware konzentriert sich auf enge Kontakte und personalisiert die Nachrichten. Typische Köder sind Links zu staatlichen Förderprogrammen, Lieferbenachrichtigungen oder Investment-Tipps.

Da die Nachricht von einem bekannten Absender kommt, klicken Empfänger deutlich häufiger. Das Vertrauen in den Kontakt wird zum Sicherheitsrisiko.

Banking und Krypto im Visier

Während sich der Wurm ausbreitet, arbeitet der Eternidade Stealer im Verborgenen. Die Delphi-Komponente scannt kontinuierlich nach geöffneten Finanz-Apps und Banking-Portalen.

Hauptziele der Malware:

• Krypto-Wallets: Binance, Coinbase, MetaMask, Trust Wallet
• Online-Banking und Fintech-Apps wie MercadoPago
• Banking-Portale brasilianischer Banken (Bradesco, BTG Pactual)

Die Angreifer setzen auf Overlay-Techniken. Die Malware wartet geduldig, bis der Nutzer eine Banking-Seite öffnet, und legt dann ein gefälschtes Anmeldefenster darüber. Passwörter und Zugangsdaten werden in Echtzeit abgegriffen.

E-Mail statt Server: Clevere Tarnkommunikation

Ein Detail beeindruckt Sicherheitsexperten besonders: Die Malware kommuniziert nicht mit verdächtigen Command-Servern, sondern nutzt das IMAP-Protokoll.

Eternidade loggt sich mit hinterlegten Zugangsdaten in ein Gmail-Konto ein und liest Befehle aus dem Posteingang oder den Entwürfen. Für Firewalls und Netzwerktools sieht dieser Traffic wie normaler E-Mail-Verkehr aus.

Sollte der Zugriff auf das primäre Konto blockiert werden, greift die Malware auf fest programmierte Backup-Adressen zurück. Diese Infrastruktur macht die Kampagne extrem widerstandsfähig gegen Abwehrmaßnahmen.

Globale Ausbreitung befürchtet

Obwohl viele Anzeichen auf einen Fokus im portugiesischsprachigen Raum hindeuten, warnen Forscher vor einer weltweiten Ausbreitung. Die technische Raffinesse der Kampagne übertrifft frühere Angriffe wie “Water Saci” deutlich.

Der PC wird zur Schwachstelle für mobile Konten. Viele Nutzer verwenden WhatsApp Desktop aus Bequemlichkeit – und öffnen damit ein Einfallstor für Angreifer. Die Verknüpfung zwischen Desktop und Smartphone macht beide Geräte angreifbar.

Experten erwarten, dass die Kriminellen ihre Malware in den kommenden Wochen gezielt auf europäische und nordamerikanische Banken anpassen werden.

So schützen Sie sich

Skeptisch bleiben: Klicken Sie niemals auf unerwartete Links in WhatsApp – auch nicht von Freunden. Besonders verdächtig sind Nachrichten zu Investments, Gewinnspielen oder staatlichen Hilfen.

Verknüpfte Geräte prüfen: Kontrollieren Sie regelmäßig unter WhatsApp-Einstellungen → “Verknüpfte Geräte”, welche Computer Zugriff haben. Unbekannte Sitzungen sofort abmelden.

Updates installieren: Halten Sie Betriebssystem und Sicherheitssoftware aktuell. Die Malware nutzt oft Lücken in veralteter Software aus.

Die Kombination aus Social Engineering und technischer Verschleierung macht Eternidade zu einer der ernsthaftesten Bedrohungen für Privatnutzer in diesem Quartal. Vertrauen allein reicht nicht mehr – auch Nachrichten von Bekannten sollten kritisch hinterfragt werden.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine Lücke, die Malware wie “Eternidade” häufig ausnutzt. Der Gratis‑Ratgeber führt Schritt für Schritt durch die wichtigsten Einstellungen für WhatsApp, erklärt, wie Sie verknüpfte Geräte prüfen und zeigt wirksame Schutzschritte gegen Overlay‑ und Phishing‑Angriffe. Holen Sie sich die Checkliste und setzen Sie die Maßnahmen sofort um. Gratis‑Ratgeber mit 5 Schutzmaßnahmen herunterladen