WhatsApp: US-Warnung vor Spyware trifft auf Phishing-Welle

Hochentwickelte Spionage-Software und täuschend echte Betrugsmaschen setzen WhatsApp-Nutzer gleichzeitig unter Druck. Während die US-Cybersicherheitsbehörde vor staatlicher Überwachungstechnologie warnt, fallen täglich Tausende auf gefälschte „Spam-Tests” herein.

Berlin – Die perfekte Timing-Falle: Genau als die US-Behörde CISA am Montag vor hochentwickelter Spyware warnt, überfluten Betrüger WhatsApp mit gefälschten „Systemprüfungen”. Die Folge? Totale Verunsicherung darüber, welche Nachrichten echt sind – und welche den Account binnen Sekunden kapern.

Die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) veröffentlichte am 24. November eine dringende Warnung: Cyberkriminelle setzen kommerzielle Spionage-Software ein, um gezielt Nutzer verschlüsselter Messenger wie WhatsApp und Signal anzugreifen.

Die Angreifer nutzen dabei zwei besonders perfide Methoden:

Zero-Click-Exploits – Schadcode, der ohne jede Nutzerinteraktion ausgeführt wird. Oft versteckt in unsichtbaren Nachrichteninhalten, die im Hintergrund das Smartphone kompromittieren.

Manipulierte QR-Codes – Scheinbar harmlose Codes, die beim Scannen das Opfer-Konto mit einem Angreifer-Gerät verknüpfen. Resultat: Der Hacker erhält vollständigen Zugriff auf Chatverlauf und Kontakte.

Passend zum Thema WhatsApp-Angriffe: Viele Android-Nutzer schützen ihr Gerät nicht ausreichend – manipulierte QR-Codes, Zero‑Click‑Exploits und versteckte Schadbilder machen Kontoübernahmen einfach. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android‑Smartphones mit leicht verständlichen Schritt‑für‑Schritt‑Anleitungen: Zwei‑Faktor‑Authentifizierung richtig einstellen, verknüpfte Geräte prüfen, sichere App‑Einstellungen und Update‑Management. Ideal, wenn Sie Chats, Kontakte und Konten vor Phishing und Spyware schützen wollen. Jetzt kostenloses Android-Sicherheits-Paket anfordern

Besonders brisant: Während sich die Angriffe zunächst auf „hochwertige Ziele” wie Regierungsbeamte, Militärangehörige und Aktivisten konzentrierten, werden die Tools laut CISA zunehmend kriminellen Netzwerken zugänglich. Die Ende-zu-Ende-Verschlüsselung? Schützt zwar den Nachrichteninhalt während der Übertragung – ist aber machtlos gegen ein kompromittiertes Gerät.

Die „Spam-Test”-Falle: Massenhafte Kontoplünderung

Parallel zur High-Tech-Bedrohung rollt eine Welle vermeintlich primitiver, aber extrem erfolgreicher Social-Engineering-Attacken. Sicherheitsexperten registrieren seit 72 Stunden eine massive Zunahme von Phishing-Kampagnen, bei denen sich Betrüger als WhatsApp-Support ausgeben.

Die Masche: Nutzer erhalten Nachrichten über angebliche „Spam-Tests” oder „Sicherheitsprüfungen”, die sofortige Reaktion erfordern, um eine Kontosperrung zu vermeiden. Perfide daran? Die Betrüger nutzen die Berichterstattung über WhatsApps tatsächliche Anti-Spam-Maßnahmen als Deckmantel.

So funktioniert der Betrug:

Eine Nachricht per SMS oder über einen gefälschten WhatsApp-Business-Account meldet: „WhatsApp-Systemwarnung: Wir führen einen Spam-Test durch. Bitte senden Sie den per SMS erhaltenen Verifizierungscode, um zu bestätigen, dass Sie ein echter Nutzer sind.”

Der angeforderte „Verifizierungscode” ist in Wahrheit der sechsstellige Login-Code für das WhatsApp-Konto. Teilt das Opfer diesen Code, gibt der Angreifer ihn auf seinem eigenen Gerät ein – und übernimmt das Konto sofort.

Warum die Verwirrung so groß ist? WhatsApp testet tatsächlich regelmäßig neue Funktionen. Die Plattform fordert aber niemals dazu auf, Verifizierungscodes für „Testzwecke” zu versenden.

Polizeibehörden in Singapur warnten kürzlich vor ähnlichen Varianten dieser „Kontoübernahme”-Betrugsmaschen. Viele Opfer bemerken den Diebstahl erst, wenn sie ausgeloggt werden oder ihre Kontakte betrügerische Kreditanfragen erhalten.

Das Datenleck als Brandbeschleuniger

Die aktuelle Angstwelle wird durch eine massive Datenschutz-Enthüllung der Vorwoche befeuert. Am 18. November veröffentlichten Forscher der Universität Wien und von SBA Research eine Vorabstudie über eine Schwachstelle in WhatsApps Kontakterkennungsmechanismus.

Das Ergebnis: Die Wissenschaftler konnten rund 3,5 Milliarden Konten erfassen und öffentliche Daten wie Profilbilder und Status-Texte abgreifen. Meta, WhatsApps Mutterkonzern, betonte zwar, mittlerweile strengere Ratenbegrenzungen implementiert zu haben. Beweise für missbräuchliche Nutzung gebe es nicht.

Doch Sicherheitsexperten sind alarmiert: „Angreifer wissen jetzt exakt, welche Nummern auf WhatsApp aktiv sind. Sie können ihre ‚Spam-Test’-Köder mit echten Profilfotos versehen und dadurch deutlich glaubwürdiger wirken”, warnt ein Analyst.

Neue Malware-Welle: Schadcode in Bilddateien

Als wäre das nicht genug, entdeckten Cybersicherheitsforscher am Dienstag eine neue Evolutionsstufe der „ClickFix”-Malware-Kampagne. Laut Malwarebytes verstecken Angreifer mittlerweile Schadcode in PNG-Bilddateien – eine Technik namens Steganografie.

Über gefälschte „Windows-Update”- oder „Menschlichkeitsverifizierungs”-Bildschirme werden Nutzer dazu verleitet, schädliche Befehle auszuführen. Zwar zielt diese Kampagne primär auf Desktop-Browser – doch sie zeigt die wachsende Gefahr, mit unbekannten Mediendateien zu interagieren oder auf unaufgeforderte „Verifizierungs”-Buttons zu klicken.

Was Nutzer jetzt tun müssen

Die Grenze zwischen „Systemglitch” und „Angriff” verschwimmt Ende 2025 zusehends. Die CISA-Warnung deutet darauf hin, dass kommerzielle Spyware-Anbieter schneller Zero-Day-Schwachstellen finden, als Plattformen sie beheben können.

„Test”-Nachrichten ignorieren – WhatsApp versendet keine Aufforderungen zur Teilnahme an „Spam-Tests” oder „Verifizierungsprüfungen” per Chat.

Zwei-Faktor-Authentifizierung aktivieren – Die zusätzliche PIN verhindert Kontoübernahmen selbst dann, wenn Angreifer den SMS-Code stehlen.

Verknüpfte Geräte überprüfen – Regelmäßig den Bereich „Verknüpfte Geräte” in den WhatsApp-Einstellungen checken und unbekannte Sitzungen sofort beenden.

Sofort aktualisieren – Sicherstellen, dass die neueste App-Version installiert ist, um die von CISA genannten Schwachstellen zu schließen.

Die Lage bleibt angespannt. Mit Spyware auf Regierungsniveau in den Händen krimineller Banden und Phishing-Nachrichten, die kaum noch von echten Systemmeldungen zu unterscheiden sind, gilt für alle Messenger-Nutzer: Vertraue niemandem – nicht mal vermeintlichen Sicherheitswarnungen.

PS: Sie sind unsicher, ob eine Nachricht echt ist oder ein angeblicher „Spam-Test” dahintersteckt? Das kostenlose Android-Schutzpaket erklärt praxisnah, wie Sie fragwürdige Nachrichten erkennen, Verifizierungscodes sichern und schädliche Medien vermeiden. Mit klaren Checklisten, Schritt‑für‑Schritt-Anleitungen und sofort umsetzbaren Tipps verhindern Sie Kontoübernahmen – auch ohne Expertenwissen. Hier gratis Android-Schutzpaket sichern