Eternidade-Malware: WhatsApp-Wurm stiehlt Bankdaten weltweit

Eine hochentwickelte Malware-Kampagne nutzt WhatsApp als Verbreitungsweg für Banking-Trojaner – und markiert damit eine gefährliche neue Ära der Cyberkriminalität. Die Schadsoftware „Eternidade” kombiniert automatisierte Verbreitung mit gezieltem Datendiebstahl und erreicht bereits 38 Länder.

Forscher von Trustwave SpiderLabs haben am 19. November 2025 Details zu dieser mehrstufigen Attacke veröffentlicht, die einen Python-basierten Wurm zur Verbreitung mit einer Delphi-Schadsoftware kombiniert. Parallel warnte die Sicherheitsfirma ThreatFabric am 20. November vor „Sturnus”, einem weiteren Banking-Trojaner, der verschlüsselte Messaging-Apps angreift. Was bedeutet diese Häufung für Nutzer in Deutschland und Europa?

Das Besondere an Eternidade ist die perfide Automatisierung. Anders als klassische Phishing-Angriffe kapert die Malware das WhatsApp-Konto des Opfers und versendet sich selbst an dessen Kontakte – mit personalisierten Nachrichten, die je nach Tageszeit angepasst werden.

Die Infektionskette startet mit einer scheinbar harmlosen Datei, häufig getarnt als Dokument oder Installationsprogramm. Ein verschleiertes Visual-Basic-Skript aktiviert zwei Komponenten: ein Python-Skript und einen MSI-Installer.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen – genau solche Lücken nutzen Banking-Trojaner und Würmer, die sich über WhatsApp verbreiten. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Android-Gerät richtig absichern, Bedienungshilfen prüfen, unbekannte APKs erkennen und Zwei-Faktor-Methoden sinnvoll trennen, damit Konten und Wallets geschützt bleiben. Praktische Checklisten helfen Ihnen, die wichtigsten Einstellungen sofort umzusetzen. Gratis-Sicherheitspaket für Android herunterladen

Der Python-Code missbraucht WPPConnect, ein eigentlich legitimes Open-Source-Tool zur WhatsApp-Automatisierung. Die Schadsoftware übernimmt die WhatsApp-Web-Sitzung, scannt die Kontaktliste und filtert gezielt: Geschäftskonten und Gruppen bleiben außen vor, nur persönliche Kontakte erhalten die manipulierten Anhänge.

„Die Malware erfasst Namen und Telefonnummer, um die Nachricht zu personalisieren”, erklären die Trustwave-Forscher. Diese Personalisierung erhöht die Erfolgsquote dramatisch – wer erwartet schon Malware vom besten Freund?

Angriffsziel: Bankkonten und Krypto-Wallets

Nach erfolgreicher Verbreitung aktiviert sich die zweite Stufe: der Eternidade-Stealer. Diese in Delphi programmierte Komponente – eine Programmiersprache, die besonders bei lateinamerikanischen Cyberkriminellen beliebt ist – konzentriert sich auf Finanzdiebstahl.

Die Software überwacht aktiv geöffnete Fenster und Prozesse. Trustwave identifizierte Zielstrings für bedeutende Finanzinstitute:

• Traditionelles Banking: Bradesco, Itaú, Santander, Caixa
• Fintech & Zahlungsdienste: MercadoPago, Stripe, PayPal
• Kryptowährungen: Binance, Coinbase, MetaMask, Trust Wallet, Exodus

Wird eine Zielanwendung erkannt, erfasst die Malware Zugangsdaten, Session-Cookies und Wallet-Informationen.

Raffinierte Tarnung der Kommandostruktur

Besonders bemerkenswert ist die Kommunikation mit dem Command-and-Control-Server (C2). Eternidade nutzt das Internet Message Access Protocol (IMAP), um Anweisungen aus einem speziellen E-Mail-Postfach bei terra.com.br abzurufen. Die Malware liest Betreffzeilen oder Inhalte aus diesem kontrollierten Postfach und kann so dynamisch neue C2-Server empfangen.

Diese Methode erschwert die Abwehr erheblich: Selbst wenn Sicherheitsteams Server blockieren, kann die Infrastruktur binnen Minuten aktualisiert werden.

Brasilien im Fokus – Deutschland im Visier?

Der aktuelle Code enthält einen „Kill-Switch”, der die Systemsprache prüft. Ist diese nicht auf Portugiesisch (brasilianische Variante) eingestellt, bricht die Malware ab. Das suggeriert eine gezielte Kampagne gegen brasilianische Nutzer.

Die Realität sieht komplexer aus: Trustwave registrierte 454 Verbindungsversuche zum Kontrollpanel der Angreifer aus 38 verschiedenen Ländern, darunter die USA und Europa – trotz der Sprachbeschränkung im Code.

Was bedeutet das? Die technische Infrastruktur ist bereits global einsatzbereit. Die Beschränkung auf Brasilien könnte jederzeit durch Entfernung weniger Codezeilen aufgehoben werden. Für deutsche Bankkunden und Unternehmen ist das eine konkrete Bedrohung: Die nächste Kampagne könnte deutsche Finanzinstitute wie die Sparkasse, Commerzbank oder N26 ins Visier nehmen.

Parallel-Bedrohung: Sturnus späht verschlüsselte Chats aus

Zeitgleich mit Eternidade wurde am 20. November „Sturnus” entdeckt – ein Android-Banking-Trojaner mit anderem Ansatz. Während Eternidade WhatsApp zur Verbreitung nutzt, späht Sturnus die Inhalte von WhatsApp, Signal und Telegram aus.

Der Trick: Sturnus missbraucht Android-Bedienungshilfen (Accessibility Services), um Nachrichten direkt vom Bildschirm auszulesen. Diese Technik umgeht die Ende-zu-Ende-Verschlüsselung, da sie erst nach der Entschlüsselung durch die legitime App greift. Besonders gefährdet: Zwei-Faktor-Authentifizierungs-Codes, die per WhatsApp oder SMS ankommen.

Aktuell zielt Sturnus auf Finanzinstitute in Süd- und Mitteleuropa. ThreatFabric beschreibt die Malware als „in der Entwicklungs- und Testphase”, aber bereits voll funktionsfähig. Die Verbreitung erfolgt über gefälschte Apps wie fingierte Chrome-Versionen.

Was Unternehmen und Privatnutzer jetzt tun sollten

Das gleichzeitige Auftreten von Eternidade und Sturnus markiert einen Wendepunkt: Vertrauenswürdige Messaging-Plattformen werden systematisch als Angriffsvektor missbraucht. Die Nutzung von Open-Source-Tools wie WPPConnect senkt die Einstiegshürde für Cyberkriminelle drastisch.

Sicherheitsexperten warnen vor dem „Malware-as-a-Service”-Modell (MaaS), das schnelle Anpassungen ermöglicht. Die modulare Struktur von Eternidade – Trennung von Verbreitungswurm und Banking-Stealer – erlaubt den einfachen Austausch der Schadsoftware-Komponente. Morgen könnte statt eines Stealers Ransomware ausgeliefert werden.

Konkrete Schutzmaßnahmen:

• Misstrauen Sie Dateianhängen – selbst von bekannten Kontakten
• Prüfen Sie ungewöhnliche Nachrichten per Rückruf beim Absender
• Nutzen Sie separate Geräte für Banking und private Kommunikation
• Aktivieren Sie erweiterte Authentifizierung bei Finanzdienstleistern
• Deaktivieren Sie Bedienungshilfen für Apps, die diese nicht benötigen

Die Sicherheitsforschung zeigt: Traditionelle Perimeter-Verteidigung reicht nicht mehr. Selbst personalisierte Nachrichten von Freunden können Banking-Trojaner transportieren. Das Sicherheitsbewusstsein muss 2025 neu kalibriert werden – WhatsApp ist nicht mehr automatisch vertrauenswürdig.

PS: Schützen Sie Ihr Smartphone jetzt proaktiv – besonders wenn Sie Banking-Apps oder Krypto-Wallets nutzen. Der kostenlose Android-Leitfaden fasst die fünf wichtigsten Schutzmaßnahmen kompakt zusammen, erklärt, welche Einstellungen Angreifer blockieren und wie Sie verdächtige Apps sicher erkennen. Praktische Anleitungen helfen beim sofortigen Umsetzen. Jetzt Android-Schutz-Paket anfordern