Signal und WhatsApp im Visier: US-Behörde warnt vor Spionage-Welle

Die US-Cybersicherheitsbehörde CISA schlägt Alarm: Eine hochentwickelte Angriffswelle zielt auf verschlüsselte Messenger wie Signal und WhatsApp. Parallel dazu entdeckten Forscher „Sturnus” – eine Android-Malware, die selbst Ende-zu-Ende-Verschlüsselung aushebelt. Wie das funktioniert? Die Schadsoftware liest einfach mit, was auf dem Bildschirm erscheint.

Die Entwicklungen markieren eine gefährliche Eskalation: Angreifer setzen längst nicht mehr nur auf Phishing. Stattdessen nutzen sie „Zero-Click”-Exploits, die Geräte kompromittieren, ohne dass Nutzer überhaupt etwas anklicken müssen.

Am Montag veröffentlichte CISA eine dringende Warnung vor kommerzieller Spyware, die gezielt hochrangige Personen in den USA, Europa und dem Nahen Osten attackiert. Die Botschaft ist beunruhigend: Diese Angriffe treffen nicht nur unvorsichtige Nutzer, sondern nutzen systematische Schwachstellen im mobilen Ökosystem aus.

Die Angreifer setzen auf Zero-Click-Exploits – Schadcode, der Geräte bereits durch den bloßen Empfang einer Nachricht oder eines Bildes infiziert. Öffnen muss das Opfer nichts. Einmal installiert, verschafft sich die Spähsoftware Zugang zu Nachrichteninhalten, Anruflisten und Standortdaten. Die Verschlüsselung der Apps? Faktisch nutzlos.

Viele Android-Nutzer unterschätzen, wie Zero-Click-Exploits und bildschirmlesende Malware wie Sturnus Ihr Handy kompromittieren können. Unser kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android – inklusive Schritt-für-Schritt-Anleitungen zu Berechtigungen, Bedienungshilfe‑Einstellungen, App‑Prüfung und Update‑Strategien, damit WhatsApp & Co. nicht zur angreifbaren Lücke werden. Holen Sie sich die praktische Checkliste für den Alltag. Jetzt kostenloses Sicherheitspaket für Android herunterladen

„Diese Cyber-Akteure nutzen ausgefeilte Targeting- und Social-Engineering-Techniken, um Spyware einzuschleusen”, heißt es in der CISA-Warnung. Zwar konzentrieren sich die Angriffe derzeit auf Regierungsbeamte, Journalisten und Aktivisten. Sicherheitsexperten warnen jedoch: Die Methoden werden sich bald auch in der breiteren Cyberkriminalität verbreiten.

Die Behörde warnt zudem vor gefälschten App-Versionen. Angreifer verteilen Nachbauten populärer Programme wie Signal oder TikTok. Diese funktionieren scheinbar normal, sammeln aber im Hintergrund heimlich Daten.

Sturnus: Wenn Malware den Bildschirm ausliest

Zusätzlich zur CISA-Warnung präsentierten Sicherheitsforscher in dieser Woche Details zu „Sturnus” – einem neuen Android-Banking-Trojaner, der sich zum Überwachungswerkzeug entwickelt hat. Die zwischen dem 21. und 25. November veröffentlichten Berichte zeigen: Sturnus nutzt eine völlig neue Methode, um die Sicherheitsvorkehrungen verschlüsselter Messenger auszuhebeln.

Statt die Verschlüsselungsalgorithmen selbst anzugreifen, missbraucht Sturnus die „Bedienungshilfen” von Android – eigentlich gedacht für Menschen mit Behinderungen. Mit diesen Rechten kann die Malware den Bildschirminhalt „lesen”, während der Nutzer ihn sieht.

„Ihre Kryptografie kann perfekt sein, aber sobald die Nachricht auf dem Bildschirm erscheint, ist sie einfach nur Text”, erklärt ein Sicherheitsanalyst. „Sturnus wartet, bis die App die Nachricht für den Nutzer entschlüsselt hat, und kopiert dann den Text in Echtzeit.”

Diese Technik ermöglicht es Sturnus, komplette Gesprächsverläufe aus Signal, Telegram und WhatsApp abzugreifen – ohne jemals die Verschlüsselungsschlüssel der Apps knacken zu müssen. Die Malware befindet sich aktuell vermutlich in einer „Entwicklungs- oder Test-Phase”. Ihre Fähigkeiten alarmieren jedoch bereits Datenschützer und Unternehmenssicherheitsteams.

WhatsApp-Schwachstelle: 3,5 Milliarden Konten durchsuchbar

Eine weitere besorgniserregende Entdeckung machten Forscher der Universität Wien und von SBA Research Anfang dieser Woche: Sie legten eine massive Datenschutzlücke in WhatsApps Architektur offen. Die Schwachstelle in der Kontakterkennungs-Funktion ermöglichte es dem Team, rund 3,5 Milliarden WhatsApp-Konten zu „enumerieren” – also ihre Existenz zu überprüfen.

Durch automatisierte Eingabe von Telefonnummern konnten die Forscher WhatsApps Server mit über 100 Millionen Nummern pro Stunde abfragen. Der Prozess verriet nicht nur, ob eine Nummer aktiv war. In vielen Fällen wurden auch Profilbilder und „Info”-Texte sichtbar.

„Zu unserer Überraschung wurden weder unsere IP-Adresse noch unsere Konten von WhatsApp gesperrt”, erklärten die Forscher. „Zudem stießen wir auf keine wirksamen Ratenbegrenzungen.”

Obwohl Meta (WhatsApps Mutterkonzern) inzwischen Gegenmaßnahmen gegen diese spezifische Scraping-Methode implementiert hat, zeigt der Vorfall die inhärenten Risiken der Nutzung von Telefonnummern als primäre Nutzerkennung. Sicherheitsexperten warnen: Solche Daten lassen sich für gezielte Phishing-Kampagnen oder Identitätsdiebstahl nutzen.

Singapur macht Druck bei iMessage

Regierungen beginnen, auf die wachsende Bedrohung durch Messenger-basierte Angriffe zu reagieren. Heute ordneten Behörden in Singapur an, dass Apple strengere Anti-Spoofing-Maßnahmen für iMessage implementieren muss.

Die Anweisung des Innenministeriums verlangt von Apple, Nachrichten zu blockieren oder zu filtern, die Regierungsbehörden imitieren. Zudem sollen Absenderinformationen deutlicher angezeigt werden. Die Maßnahme reagiert auf eine Welle von Betrugsversuchen, bei denen Angreifer gefälschte Regierungs-IDs nutzen, um Opfer zur Preisgabe sensibler Daten zu verleiten.

Apple hat bis Dezember Zeit, die neuen Vorschriften umzusetzen – eine Frist, die andeutet, dass Regulierungsbehörden zunehmend die Geduld mit der Selbstregulierung der Tech-Industrie beim Nutzerschutz verlieren.

Was bedeutet das für mobile Sicherheit?

Die Kombination aus CISA-Warnung, der Entdeckung von Sturnus und der WhatsApp-Datenschutzlücke zeichnet ein düsteres Bild für die mobile Privatsphäre Ende 2025.

„Wir betreten eine Post-Verschlüsselungs-Ära der mobilen Sicherheit”, sagt Dr. Elena Rostova, Cybersicherheitsanalystin aus Berlin. „Ende-zu-Ende-Verschlüsselung bleibt wichtig, ist aber keine Universallösung mehr. Wenn der Endpunkt – also das Smartphone selbst – durch Zero-Click-Spyware oder bildschirmlesende Malware kompromittiert ist, wird die Verschlüsselung des Übertragungskanals bedeutungslos.”

Für 2026 prognostizieren Experten eine Änderung der Verteidigungsstrategien. Mobile Betriebssystem-Anbieter wie Google und Apple werden wahrscheinlich unter zunehmendem Druck stehen, Bedienungshilfe-Berechtigungen weiter zu beschränken – möglicherweise auf Kosten der Funktionalität legitimer Apps, um Missbrauch durch Malware wie Sturnus zu verhindern.

Bis dahin empfehlen CISA und Sicherheitsfirmen Hochrisiko-Nutzern, den „Sperrmodus” auf iOS-Geräten zu aktivieren, Smartphones regelmäßig neu zu starten, um nicht-persistente Malware zu unterbrechen, und Vorschaufunktionen für Nachrichten zu deaktivieren, um Zero-Click-Risiken zu minimieren.

Nutzer sollten ihre Geräte stets mit den neuesten Sicherheitspatches auf dem aktuellen Stand halten.

PS: Sie nutzen WhatsApp, Signal oder iMessage und sorgen sich um Mitlesen? Das kostenlose Sicherheitspaket zeigt ergänzend, wie Sie Vorschaufenster abschalten, Geräte neu starten und kritische Berechtigungen prüfen – einfach umsetzbare Schritte, die Zero-Click-Risiken reduzieren. Ideal für Journalisten, Aktivisten und alle, die sensible Chats schützen wollen. Der Leitfaden ist kostenlos und kommt direkt in Ihr Postfach. Sicherheitspaket jetzt gratis anfordern