Android-Malware, WhatsApp-Verschlüsselung

Neue Android-Malware hebelt WhatsApp-Verschlüsselung aus

22.11.2025 - 20:49:12

Neue Android-Malware hebelt WhatsApp-Verschlüsselung aus - Foto: über boerse-global.de
Neue Android-Malware hebelt WhatsApp-Verschlüsselung aus - Foto: über boerse-global.de

Zwei hochentwickelte Schadprogramme attackieren seit dieser Woche Millionen Android-Nutzer – und machen dabei selbst die Ende-zu-Ende-Verschlüsselung von Signal, WhatsApp und Telegram wirkungslos. Die Angreifer knacken nicht den Code, sondern lesen die Nachrichten direkt vom Bildschirm ab.

Die zwischen dem 19. und 21. November entdeckten Bedrohungen Sturnus und Eternidade markieren eine gefährliche Entwicklung in der mobilen Cyberkriminalität: Vertrauenswürdige Kontakte werden zu unwissenden Komplizen einer digitalen Ketteninfektion.

Am Donnerstag warnte das niederländische Sicherheitsunternehmen ThreatFabric vor einem neuen Android-Trojaner namens Sturnus (benannt nach der wissenschaftlichen Bezeichnung für Stare). Die Malware attackiert gezielt Finanzinstitute in Mittel- und Südeuropa – und könnte bald auch deutsche Bankkunden treffen.

Die perfide Strategie: Sturnus missbraucht die sogenannten Bedienungshilfen von Android – eigentlich für Menschen mit Behinderungen gedacht – als digitalen Generalschlüssel. Während Apps wie Signal die Daten während der Übertragung verschlüsseln, liest Sturnus die Nachrichten einfach vom Bildschirm ab, nachdem sie für den Nutzer entschlüsselt wurden.

Anzeige

Viele Android-Nutzer wissen nicht, dass aktivierte Bedienungshilfen Apps erlauben, den Bildschirm auszulesen – eine Lücke, die Banking-Trojaner wie Sturnus gezielt ausnutzen. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone mit klaren Schritt-für-Schritt-Anleitungen: Berechtigungen prüfen, sichere App-Quellen, Backups, Play Protect richtig nutzen und Overlay-Schutz. Schützen Sie WhatsApp, Online-Banking und Ihre Daten jetzt. Gratis-Sicherheitspaket für Android herunterladen

„Die Verschlüsselung wird nicht gebrochen, sondern umgangen”, erklären die ThreatFabric-Forscher. „Das Schadprogramm liest aus, was der Nutzer selbst auf seinem Display sieht.”

Obwohl sich Sturnus noch in einer frühen Testphase befindet, ist die Funktionalität bereits vollständig ausgereift:

  • Gefälschte Banking-Oberflächen: Die Malware legt täuschend echte Login-Masken über legitime Banking-Apps
  • Vollständige Tastaturüberwachung: Jede Eingabe wird mitgeschnitten
  • Selbstschutz-Mechanismus: Versucht der Nutzer, die App zu deinstallieren oder Berechtigungen zu entziehen, schließt Sturnus automatisch die Systemeinstellungen

Eternidade: Der WhatsApp-Wurm aus Brasilien

Während Sturnus auf Bankbetrug setzt, verfolgt die Schadsoftware Eternidade (portugiesisch für „Ewigkeit”) einen noch aggressiveren Ansatz. Wie Trustwave SpiderLabs am 19. November berichtete, verwandelt diese Malware WhatsApp in eine Massenvernichtungswaffe.

Die Angriffskette beginnt typischerweise mit einer persönlich wirkenden Nachricht – oft mit Namensnennung und tageszeit-angepasster Begrüßung („Guten Morgen”). Die Nachricht stammt jedoch von einem bereits infizierten Kontakt und enthält eine manipulierte Datei.

Nach der Installation läuft der digitale Alptraum automatisch ab:

  1. Kontakte-Diebstahl: Das komplette Adressbuch wandert zu einem Kontrollserver
  2. Massenversand: Ein Python-Skript verschickt automatisch Schad-Dateien an alle gespeicherten Kontakte
  3. Konto-Plünderung: Gefälschte Overlays stehlen Zugangsdaten zu brasilianischen Banken wie Itaú, Santander und Bradesco sowie zu Krypto-Wallets

Besonders tückisch: Eternidade nutzt legitime Cloud-Dienste für seine Infrastruktur und kann sich dadurch dynamisch aktualisieren. Die Programmierung erfolgte in Delphi – eine Sprache, die traditionell von brasilianischen Cyberkriminellen bevorzugt wird.

Globale Dimensionen: Wenn das CAPTCHA zur Falle wird

Diese mobilen Bedrohungen sind Teil eines weltweiten Trends. Zeitgleich dokumentierte Palo Alto Networks Unit 42 am 19. November einen massiven Ransomware-Angriff auf ein Infrastrukturunternehmen – ausgelöst durch ein gefälschtes CAPTCHA.

Ein Mitarbeiter klickte auf die Schaltfläche „Verifizieren Sie, dass Sie ein Mensch sind”. Was wie eine Routineprüfung aussah, installierte die Schadsoftware SectopRAT, die schließlich die Akira-Ransomware nachzog.

Die psychologische Taktik ist identisch: Nutzer werden dazu verleitet, eine vermeintlich harmlose Aktion auszuführen – sei es ein App-Update oder eine Identitätsprüfung. Auf Mobilgeräten geschieht dies meist über gefälschte APK-Dateien, die als kritische WhatsApp- oder Banking-Updates getarnt sind.

Warum Verschlüsselung nicht mehr ausreicht

Die Bedienungshilfen von Android entwickeln sich zum Achillesferse der mobilen Sicherheit. Ursprünglich für Barrierefreiheit konzipiert, gewähren sie heute weitreichende Systemrechte.

„Verschlüsselung schützt die Daten in der Leitung, aber Bedienungshilfen kontrollieren den Wasserhahn”, formuliert es ein Sicherheitsexperte. „Gewährt ein Nutzer diese Berechtigung, kann die Malware den Bildschirm auslesen, Schaltflächen drücken und Transaktionen autorisieren – ohne dass der Besitzer es bemerkt.”

Der Shift zu Messenger-Apps als Verbreitungsweg verschärft das Problem zusätzlich. Nutzer vertrauen Nachrichten von bekannten Kontakten. Durch die Automatisierung des Infektionsprozesses – wie bei Eternidade – entsteht eine virale Kettenreaktion, die traditionelle E-Mail-Phishing-Kampagnen bei weitem übertrifft.

Ausblick: Die Bedrohung kommt nach Deutschland

Sicherheitsexperten warnen eindringlich: Obwohl Sturnus derzeit auf Europa und Eternidade auf Brasilien fokussiert sind, dürfte es nur eine Frage von Wochen sein, bis die Schadprogramme global auftauchen.

ThreatFabric prognostiziert, dass Sturnus die Testphase in Kürze abschließen und seine Zielliste deutlich erweitern wird. Die Erfolgsgeschichte von Eternidades WhatsApp-Wurm-Taktik wird voraussichtlich Nachahmer inspirieren – besonders in Regionen, wo WhatsApp das dominante Kommunikationsmittel ist, etwa in Indien und Südostasien.

Dringende Sicherheitsempfehlung: Laden Sie niemals Dateien oder Apps (APKs) herunter, die per Messenger verschickt werden – selbst wenn sie von bekannten Kontakten stammen. Verifizieren Sie verdächtige Nachrichten über einen zweiten Kanal (Anruf, SMS). Jede App, die Bedienungshilfen anfordert und kein nachvollziehbares Barrierefreiheits-Tool ist, sollte als bösartig eingestuft und sofort deinstalliert werden.

Anzeige

PS: Sie nutzen WhatsApp oder Mobile-Banking? Dieses kostenlose Android-Sicherheitspaket erklärt, warum Messenger-Angriffe so gefährlich sind – und wie Sie Ihr Gerät in fünf einfachen Schritten robust absichern. Viele Leser berichten, dass Tipp 3 eine häufig übersehene Lücke schließt. Holen Sie sich den kompakten PDF-Leitfaden mit Checklisten und konkreten Anleitungen, damit Sie nicht Opfer von Fake-APKs oder gefälschten Overlays werden. Jetzt kostenlosen Android-Schutzleitfaden anfordern

@ boerse-global.de
Die besten Black Friday Angebote für