Hacker sind permanent aktiv und nutzen natürlich auch verschlüsselte Messaging-Apps wie WhatsApp, Signal und Telegram, um Spyware und Phishing-Angriffe zu verbreiten.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) veröffentlichte am Montag eine nationale Warnung bez. der Bedrohung, basierend auf einer Zusammenstellung von Sicherheitsforschungen, von denen ein Großteil in den letzten Monaten publiziert wurde.
„CISA ist sich bewusst, dass mehrere Cyber-Bedrohungsakteure aktiv kommerzielle Spyware einsetzen, um Nutzer mobiler Messaging-Anwendungen (Apps) anzugreifen“, warnt die CISA-Mitteilung.
Die Akteure zielen hauptsächlich auf wichtige Personen in den USA, im Nahen Osten und in Europa ab, mit dem Ziel, die persönlichen Geräte der Opfer zu kompromittieren und so auch dauerhaften Zugriff zu erlangen.
Zu den Zielen gehören seit jeher aktuelle und ehemalige hochrangige Regierungs-, Militär- und Politikbeamte sowie Vertreter von zivilgesellschaftlichen Organisationen (CSOs) wie gemeinnützigen Vereinen, Wohltätigkeitsorganisationen und Interessengruppen.
Durch „ausgeklügelte Targeting- und Social-Engineering-Techniken zur Verbreitung von Spyware“ setzt der Hacker, sobald er Zugriff auf die Messaging-App des Opfers erlangt hat, „zusätzliche bösartige Payloads“ ein, um das Gerät weiter zu kompromittieren.
Diese Arten von Angriffen umfassen bewährte Taktiken, Techniken und Verfahren (TTPs) wie:
- Phishing und bösartige Geräte-Verlinkung über QR-Codes, die Opferkonten kompromittieren und sie dann mit von Akteuren kontrollierten Geräten verknüpfen.
- Zero-Click-Exploits, die keine direkte Aktion vom Gerätebenutzer erfordern.
- Vortäuschung von Messaging-App-Plattformen wie Signal und WhatsApp.
Nationalstaatliche Bedrohungen befeuern Angriffe 2025
Von der Google Threat Intelligence Group (GTIG) bis zu Palo Altos Unit 42 hat Cybernews mehrere dieser Kampagnen behandelt, die bis Februar dieses Jahres zurückreichen.
Einer der ersten bekannten Messaging-App-Angriffe 2025 war angeblich das Werk russischer Akteure, die versuchten, Informationen zu sammeln, indem sie die Signal-Kommunikation feindlicher Soldaten belauschten.
GTIG meldete, dass Cyberkriminalitätsgruppen ganz einfach die „Verknüpfte Geräte“-Funktion der verschlüsselten Messaging-App ausnutzten, die es z. B. ermöglicht, Signal auf mehreren Geräten nach dem Scannen eines QR-Codes zu verwenden.
Bei wirklichem Erfolg würden laut GTIG zukünftige Signal-Nachrichten dann „synchron sowohl an das Opfer als auch an den Bedrohungsakteur in Echtzeit zugestellt, ohne dass eine vollständige Gerätekompromittierung erforderlich ist“, was auch als Zero-Click-Angriff bekannt ist.
Darüber hinaus wurde festgestellt, dass Hacker natürlich auch dieselbe Technik wiederverwenden, um andere verschlüsselte Messaging-Apps, einschließlich WhatsApp und Telegram, zu kompromittieren.
In einem anderen Zero-Click-Beispiel nutzten Hacker, die eine Android-basierte Spyware namens Landfall einsetzten, mehrere Zero-Day-Schwachstellen aus, um unter anderem Samsung Galaxy-Smartphones anzugreifen, so Unit 42.
Die Landfall-Kampagne – bei der Hacker ein bösartiges Bild mit eingebetteter Spyware über WhatsApp versendeten – wurde von Mitte 2024 bis Anfang 2025 verfolgt.
Auch unter Ausnutzung von WhatsApp wurden andere Angriffe beobachtet, die angeblich von der israelischen Spyware Paragon durchgeführt wurden. Die Angriffe, die Berichten zufolge Personen in zwei Dutzend Ländern ins Visier nahmen, nutzten stattdessen bösartige Dokumente, um ihre Payload über WhatsApp zu übermitteln.
Die massive Anzahl von WhatsApp-bezogenen Angriffen führte schließlich sogar dazu, dass das Weiße Haus die Nutzung von WhatsApp auf den persönlichen Geräten von Kongressmitgliedern verbot, was möglicherweise dazu beitrug, dass viele Kabinettsmitglieder von US-Präsident Donald Trump zu Telegram wechselten und den „Signalgate“-Sturm auslösten.
Weitere kürzlich mit Spyware durchgeführte Kampagnen, die im CISA-Bulletin erwähnt werden, umfassen „ClayRat“, das Android-Spyware über gefälschte Telegram-Kanäle und bösartige Phishing-Seiten verteilte, sowie die ProSpy-Kampagne, die gefälschte Signal-Plugins verwendet, um Benutzer zu kompromittieren.
Was kann man für die eigene Online-Sicherheit tun?
Niemals auf unbekannte Links klicken, weder Mobile noch Desktop. Installiere ‚egal was‘ nur und ausschliesslich von vertraulichen Quellen.
Zur Verbesserung der eigenen Privatsphäre und Online-Sicherheit empfehle ich persönlich folgende Produkte zu studieren und konstant zu nutzen: