WhatsApp, Signal, Telegram: Neue Malware umgeht Verschlüsselung

Ein ausgeklügelter Android-Trojaner bedroht verschlüsselte Messenger-Kommunikation, während Australien Plattformen zu strenger Identitätsprüfung zwingt.

Die vermeintliche Sicherheit beliebter Messenger-Apps gerät ins Wanken: Ein neu entdeckter Schädling hebelt die verschlüsselte Kommunikation aus – und das, obwohl die Ende-zu-Ende-Verschlüsselung selbst intakt bleibt. Gleichzeitig zwingen neue Gesetze die Anbieter zum Umdenken bei Nutzerdaten und Anonymität. Was bedeutet das für die Millionen Nutzer von WhatsApp, Signal und Telegram?

Das niederländische Sicherheitsunternehmen ThreatFabric schlug am Donnerstag Alarm: Mit “Sturnus” macht ein Banking-Trojaner die Runde, der einen völlig neuen Ansatz verfolgt. Statt sich an unknackbaren Verschlüsselungsschlüsseln abzuarbeiten, wartet die Schadsoftware einfach ab – bis die Nachricht auf dem Display erscheint.

Die Masche ist perfide: Sturnus missbraucht Androids “Barrierefreiheitsdienste”, eigentlich gedacht für Menschen mit Einschränkungen. Hat die Malware erst diese Berechtigung erlangt, liest sie den Bildschirminhalt in Echtzeit mit. Nach der Entschlüsselung, wenn die Nachricht für den Nutzer sichtbar wird, greift der Trojaner zu.

Viele Android‑Nutzer unterschätzen, dass Schadsoftware wie Sturnus über Berechtigungen und Bildschirmzugriff Nachrichten ausliest – selbst bei Ende‑zu‑Ende‑Verschlüsselung. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android: Berechtigungen richtig setzen, geprüfte Apps installieren, automatische Updates, sichere Banking‑Einstellungen und Schutz gegen Screen‑Scraper. Praxistaugliche Schritt‑für‑Schritt‑Anleitungen helfen Ihnen, WhatsApp & Co. sicherer zu machen. Jetzt kostenloses Sicherheitspaket für Android herunterladen

Noch befindet sich Sturnus laut den Forschern in einer “Testphase” – private Cyberkriminelle evaluieren offenbar die Wirksamkeit. Doch das Arsenal ist bereits beeindruckend: Neben dem Auslesen von Messenger-Inhalten kann die Software gefälschte Login-Masken über Banking-Apps legen, um Zugangsdaten abzufangen. Einmal installiert, blockiert sie jeden Deinstallationsversuch. Das Gerät ist faktisch gekapert.

Die Botschaft ist klar: Die Verschlüsselung der Übertragung nützt wenig, wenn das Endgerät selbst kompromittiert ist.

Australien macht Ernst bei Messenger-Kontrolle

Während Sicherheitsfirmen gegen Malware kämpfen, verschärfen Regierungen den Druck auf die Plattformen. Am Freitag konkretisierte Australien sein “Social Media Minimum Age Act” – ein Gesetz, das Jugendlichen unter 16 Jahren soziale Medien verbietet.

Die entscheidende Frage: Was zählt als soziales Medium, was als privater Messenger? Snapchat wird künftig verboten sein, bestätigte die Regierung am Freitag. WhatsApp hingegen bleibt vorerst außen vor – ebenso wie Bildungstools.

Snap Inc. reagierte scharf: Das Gesetz “trennt Teenager von Freunden und Familie”, erklärte das Unternehmen am 21. November. Die Warnung wiegt schwer: Womöglich weichen Jugendliche auf “weniger sichere, weniger private Messaging-Apps” aus.

Doch das eigentliche Sicherheitsrisiko liegt woanders. Um das Mindestalter durchzusetzen, könnten Plattformen künftig strenge Identitätsprüfungen verlangen – Ausweisscans, biometrische Daten. Genau solche zentralisierten Nutzerdatenbanken sind das ideale Ziel für Angreifer wie Sturnus. Was als Schutzmaßnahme gedacht ist, könnte zur Sicherheitslücke werden.

Betrüger nutzen Video-Anrufe als Waffe

Wie nötig robuste Sicherheit ist, zeigen aktuelle Betrugsfälle. In Chennai verhaftete die Polizei am Freitag ein Netzwerk, das über WhatsApp-Videoanrufe einen perfiden “digitalen Verhaftungs”-Betrug durchführte.

Die Täter traten in Polizeiuniform vor täuschend echten Kulissen auf und behaupteten, die Identität der Opfer sei in Geldwäsche- oder Menschenhandelsfälle verwickelt. Eine 70-jährige Frau überwies daraufhin umgerechnet 28.000 Euro, um ihre Unschuld zu “beweisen”.

Ähnliche Warnungen gab die zypriotische Polizei am Freitag heraus: Betrüger geben sich als lokale Beamte aus und fordern Kontodaten für angebliche Ermittlungen.

Die bittere Erkenntnis: Verschlüsselung schützt nicht vor menschlicher Manipulation. Die hohe Qualität moderner Videoanrufe macht es Kriminellen leicht, falsche Autorität aufzubauen. Technik allein reicht nicht – kritisches Denken ist gefragt.

Google rüstet auf: Neue Sicherheitsschicht

Die Branche reagiert. Google rollt für seinen Messenger-Dienst das “Universal Profile 3.0” aus, das das Messaging Layer Security (MLS) Protokoll integriert.

MLS ermöglicht verschlüsselte Kommunikation zwischen verschiedenen Plattformen – etwa zwischen Android und iOS. Besonders Gruppenchats profitieren von effizienterem Schlüsselmanagement, was Angriffe selbst bei kompromittierten Einzelgeräten erschwert.

Zusätzlich führt Google einen “Key Verifier” ein. Per QR-Code oder Vergleich öffentlicher Schlüssel können Nutzer die Identität ihrer Kontakte prüfen. So lässt sich sicherstellen, dass kein Angreifer die Kommunikation abfängt. Die breitere Verfügbarkeit dieser Woche ist eine direkte Antwort auf die wachsende Zahl von Identitätsbetrügereien.

Was kommt 2026?

Die Sicherheit von Messenger-Apps verlagert sich vom Übertragungsweg zum Endgerät. Sturnus beweist: Verschlüsselung nützt nichts, wenn das Betriebssystem oder das Gerät selbst unsicher ist.

Experten rechnen für 2026 mit drei Entwicklungen:

Hardware-Verifizierung: Messenger könnten verstärkt auf sichere Chip-Bereiche in Smartphones setzen, um Nachrichten anzuzeigen – außerhalb der Reichweite von Screen-Scrapern wie Sturnus.

Biometrische Authentifizierung: Gegen “digitale Verhaftungen” könnten Apps biometrische Prüfungen vor Videoanrufen mit unbekannten Nummern verlangen.

Regulierungs-Flickenteppich: Folgen andere Länder Australiens Beispiel, müssen Plattformen regional unterschiedliche Identitätsprüfungen aufbauen – mit ungewissen Folgen für die Privatsphäre.

Die wichtigste Empfehlung für Nutzer bleibt simpel: Das Gerät selbst ist die erste Verteidigungslinie. Keine Apps aus dubiosen Quellen, Berechtigungsanfragen kritisch prüfen und jeden “Beamten” im Videochat erst verifizieren, bevor irgendetwas übermittelt wird.

Denn eines zeigt die aktuelle Entwicklung deutlich: Die Schwachstelle sitzt nicht in der Verschlüsselung – sondern immer öfter vor dem Bildschirm.

PS: Wenn Gesetze wie in Australien Ausweisscans und biometrische Prüfungen fördern, steigt das Risiko zentralisierter Nutzerdaten – und damit die Angriffsfläche für Malware. Das kostenlose Android‑Sicherheitspaket liefert nicht nur die 5 wichtigsten Schutzmaßnahmen, sondern auch kurze Checklisten, wie Sie Messenger (WhatsApp, Signal, Telegram) und Banking‑Apps sicher konfigurieren und Berechtigungen prüfen. Praktisch, verständlich und sofort umsetzbar. Sicherheitspaket jetzt gratis anfordern