Morpheus-Spyware kapert WhatsApp-Konten auf Android

Sie greift gezielt WhatsApp-Nutzer auf Android an. Die Schadsoftware kombiniert Social Engineering mit technischer Raffinesse.

So funktioniert der Angriff

Morpheus verbreitet sich über täuschend echte SMS-Nachrichten. Die Empfänger werden aufgefordert, ein angebliches System-Update zu installieren. Wer den Link anklickt und die Installation außerhalb offizieller Stores erlaubt, lädt sich die Spyware aufs Gerät.

Banking, PayPal und WhatsApp — auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Android-Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Gerät mit 5 einfachen Schritten wirksam vor Spionage und Hackern absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Das Kernstück des Angriffs: Die Software missbraucht die Accessibility-Rechte (Bedienungshilfen) von Android. Einmal installiert, fordert sie den Nutzer auf, diese weitreichenden Berechtigungen zu erteilen. Sind sie gewährt, kann das Programm den Bildschirminhalt in Echtzeit auslesen und Tastenanschläge aufzeichnen.

Besonders perfide: Morpheus kann WhatsApp-Konten komplett übernehmen. Die Spyware koppelt eigenständig neue Geräte mit dem bestehenden Konto – der rechtmäßige Besitzer merkt davon zunächst nichts.

Wer steckt dahinter?

Die Kampagne deutet auf einen staatlichen oder hochprofessionellen Hintergrund hin. Laut Analysen stammt die Software ursprünglich aus Italien. Sie wird bereits von Strafverfolgungsbehörden in über 20 Ländern eingesetzt. Zu den primären Zielen zählen Aktivisten, Journalisten und Politiker.

iOS-Nutzer müssen sich keine Sorgen machen: Die Systemarchitektur von Apple unterbindet solche Eingriffe in die Bedienungshilfen durch Drittanbieter-Apps.

Meta schließt kritische Lücken in WhatsApp

Parallel zur Entdeckung von Morpheus hat Meta Anfang Mai Sicherheitsupdates für WhatsApp veröffentlicht. Zwei Schwachstellen wurden behoben:

• CVE-2026-23863 betraf die Windows-Version von WhatsApp. Angreifer konnten Dateinamen manipulieren, sodass schädliche Anhänge wie harmlose Dokumente aussahen.
• CVE-2026-23866 betraf Android und iOS. Hier lag ein Fehler in der Validierung von Mediendateien vor. Die Lücke stand im Zusammenhang mit den neuen KI-gestützten Antwortfunktionen für Instagram Reels.

Beide Schwachstellen wurden mit mittlerem Risikograd eingestuft. Bisher liegen keine Erkenntnisse über aktive Angriffe vor. Experten drängen dennoch zur sofortigen Aktualisierung.

Die Industrie der mobilen Angriffe

Die Bedrohungslage verschärft sich durch eine zunehmende Industrialisierung. Smishing (Phishing via SMS) ist mittlerweile als hocheffiziente Lieferkette organisiert. Die globalen Verluste durch diese Betrugsform werden auf jährlich rund 80 Milliarden US-Dollar geschätzt.

Ein Beispiel aus Kanada: Im Rahmen der Ermittlung „Project Lighthouse" nahmen Behörden in Toronto drei Männer fest. Sie betrieben einen sogenannten SMS-Blaster – ein Gerät, das eine legitime Mobilfunkzelle imitiert. Damit konnten sie Phishing-Nachrichten massenhaft an alle Mobiltelefone in der Umgebung senden, ohne die Nummern der Opfer zu kennen. Rund 13 Millionen Verbindungsversuche wurden registriert.

Hinzu kommen globale Bedrohungen wie das Botnet „xlabs_v1". Es nutzt offene ADB-Schnittstellen auf Android-Geräten aus, um DDoS-Angriffe auf Minecraft-Server zu starten oder Kryptowährungen zu schürfen.

Das strukturelle Problem: Veraltete Geräte

Ein erheblicher Teil der Gefahr resultiert aus veralteter Hardware. Marktanalysen zeigen: Im Jahr 2026 sind noch rund eine Milliarde Android-Geräte anfällig für längst bekannte Sicherheitslücken wie Heartbleed. Diese Geräte laufen oft mit Android 12 oder älter und erhalten keine Sicherheits-Patches mehr.

Ein veraltetes Android-System ist wie eine offene Haustür für Cyberkriminelle, die gezielt Sicherheitslücken ausnutzen. Erfahren Sie in diesem kostenlosen Report, wie Sie durch richtige Updates und einfache Einstellungen Datenverlust und Malware dauerhaft verhindern. Kostenlosen Android-Update-Ratgeber herunterladen

Google reagiert darauf mit massiv erhöhten Prämien. Im Mai 2026 wurden die Belohnungen im Bug-Bounty-Programm auf bis zu 1,5 Millionen US-Dollar für Zero-Click-Exploits angehoben. Dennoch bleibt der Faktor Mensch das schwächste Glied: Zwischen 20 und 60 Prozent der Nutzer verwenden dieselben Passwörter für private und geschäftliche Zwecke.

Schutzmaßnahmen: Was jetzt hilft

Experten raten dringend zur Aktivierung der Zwei-Faktor-Authentifizierung (2FA) in Messenger-Apps. Apps sollten ausschließlich über offizielle Quellen wie den Google Play Store installiert werden. Da SMS-basierte Codes zunehmend durch Smishing oder SMS-Blaster abgefangen werden können, empfiehlt die Branche den Umstieg auf hardwarebasierte Methoden wie FIDO2-Keys oder Passkeys.

Ausblick: Das Wettrüsten geht weiter

Android plant für spätere Systemversionen neue Schutzmechanismen wie einen verbesserten „Identity Check" und eine „Theft Detection Lock". Ab September 2026 sollen Einschränkungen beim Sideloading systemseitig verschärft werden.

Auch von regulatorischer Seite wächst der Druck. Die EU plant strengere Haftungsregeln für Softwarehersteller, um längere Update-Versorgung sicherzustellen. Das könnte langfristig das Problem der Milliarden veralteten Android-Geräte lindern.

Die Entdeckung von Morpheus zeigt: Mobile Endgeräte sind längst zum primären Schlachtfeld der Cyberspionage geworden.

de | wissenschaft | 69278238 |