Morpheus: Neue Android-Spyware kapert WhatsApp-Konten

"Morpheus" umgeht die biometrische Sperre von WhatsApp und übernimmt die vollständige Kontrolle.

Die Malware nutzt eine perfide Kombination aus manipulierten Mobilfunkverbindungen und Social Engineering. Experten des Osservatorio Nessuno stießen Ende April auf die Version 2025.3.0. Anders als klassische Angriffe setzt Morpheus auf die Barrierefreiheitsfunktionen von Android.

Angesichts der wachsenden Bedrohung durch Spyware wie Morpheus ist ein effektiver Schutz für mobile Endgeräte wichtiger denn je. Dieser kostenlose PDF-Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Smartphone wirksam gegen Hacker und Datenmissbrauch absichern. So sichern Sie Ihr Smartphone in wenigen Minuten ab

So läuft der Angriff ab

Der Infektionsweg ist ungewöhnlich: Zuerst stören die Angreifer gezielt die Mobilfunkverbindung des Opfers. Sobald der Nutzer kein Netz mehr hat, kommt eine SMS – scheinbar vom Provider. Die Nachricht fordert zur Installation einer Support-App auf.

Die Links führen zu Seiten wie assistenza-sim.it. Dort lädt das Opfer eine schädliche APK-Datei herunter, die sich als offizielle App des Anbieters Fastweb tarnt.

Nach der Installation fordert die App weitreichende Berechtigungen für die Android-Barrierefreiheitsdienste. Wer diese gewährt, hat verloren: Die Spyware liest Bildschirminhalte aus, simuliert Klicks und fängt Systembenachrichtigungen ab. Besonders perfide: Morpheus deaktiviert die visuellen Indikatoren für aktive Kamera- oder Mikrofonnutzung. Die Überwachung bleibt unsichtbar.

Zudem schaltet die Malware gängige Antivirenprogramme wie Bitdefender, Sophos, Avast oder Malwarebytes gezielt aus.

Biometrische Hürde geknackt

Der Kern der Attacke zielt auf die biometrische Sperre von WhatsApp. Statt die Verschlüsselung direkt anzugreifen, blendet die Spyware ein täuschend echtes Fenster ein. Es fordert einen Fingerabdruck oder eine Gesichtserkennung.

Sobald der Nutzer seine Identität bestätigt, autorisiert die Software im Hintergrund den Zugriff auf das Konto. Die biometrische Hürde ist damit ausgehebelt.

Morpheus fungiert als Remote Access Trojaner (RAT). Die Angreifer haben die vollständige Kontrolle über das Gerät. Code-Analysen deuten auf einen Ursprung in Italien hin – in den Skripten fanden sich spezifische Artefakte wie die Phrase "a pra foco". Die Ermittlungen führen zu Unternehmen wie IPS Intelligence Public Security, Rever Srls und Iris Telecomunicazioni.

Im Vergleich zu bekannter Staatstrojaner-Software wie Pegasus gilt Morpheus als kostengünstigere, aber hocheffektive Alternative. Analysten zufolge wird sie unter anderem gegen politische Aktivisten eingesetzt.

Parallel-Angriffe auf Spitzenpolitiker

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verfassungsschutz warnen vor einer koordinierten Kampagne gegen deutsche Spitzenpolitiker. Betroffen sind Bundestagspräsidentin Julia Klöckner sowie die Politikerinnen Karin Prien und Verena Hubertz.

Die Täter geben sich als offizieller Signal-Support aus. Sie fordern PIN-Codes oder die Koppelung neuer Geräte via QR-Code. In einigen Fällen kam es zu einem 72-stündigen Datenabfluss. Die Bundesanwaltschaft ermittelt seit Februar 2026 wegen Spionageverdachts.

Auch Apple-Nutzer sind nicht sicher. Forscher demonstrierten im April 2026 eine kritische Schwachstelle in der Kombination aus Apple Pay und Visa-Karten. Im Express-ÖPNV-Modus konnten Angreifer mit modifizierten NFC-Lesegeräten bis zu 10.000 US-Dollar von gesperrten iPhones abbuchen. Apple schloss die Zero-Click-Lücke CVE-2026-28950 mit iOS 26.4.2. Das Problem im Visa-Protokoll bleibt jedoch bei bestimmten Konfigurationen bestehen.

Bedrohungslage eskaliert

Die aktuelle Angriffswelle zeigt eine Professionalisierung der mobilen Spionage. Der wirtschaftliche Schaden durch Cyberkriminalität in Deutschland liegt laut Branchenangaben bei rund 200 Milliarden Euro jährlich.

Besonders alarmierend: Die Klickrate bei KI-gestützten Phishing-Kampagnen lag im ersten Quartal 2026 bei bis zu 54 Prozent. Bei Führungskräften erreicht dieser Wert sogar 68 Prozent.

Die "Operation NoVoice" hat bereits etwa 2,3 Millionen Android-Geräte infiziert. Das zeigt das Ausmaß der Bedrohung für private und geschäftliche Endgeräte.

Samsungs April-Patch schloss zwar 47 Sicherheitslücken, führte jedoch bei Modellen der S24- und S25-Serie zu signifikanten Akku- und Hitzeproblemen. Gleichzeitig wurde eine gefährliche Root-Lücke namens "Pack2TheRoot" (CVE-2026-41651) in der Linux-Software Packagekit entdeckt. Sie bestand seit über zwölf Jahren und konnte nun durch KI-gestützte Forschung identifiziert werden.

Was Nutzer jetzt tun müssen

Für die kommenden Monate wird eine weitere Verschärfung der Sicherheitslage erwartet. Der globale Schaden durch SMS-Betrug soll 2026 voraussichtlich 71 Milliarden US-Dollar erreichen.

Die Politik rüstet regulatorisch nach: Der EU Cyber Resilience Act (CRA) tritt am 11. Juni 2026 in Kraft. Die KI-Verordnung der EU wird in weiten Teilen ab dem 2. August 2026 gelten.

Während Cyberkriminelle zunehmend KI für Phishing-Kampagnen nutzen, müssen Unternehmen die neuen rechtlichen Rahmenbedingungen der EU-KI-Verordnung beachten. Erfahren Sie in diesem kompakten Leitfaden, welche konkreten Pflichten und Fristen seit August 2024 für Ihren Betrieb gelten. EU-KI-Verordnung: Jetzt kostenlosen Umsetzungsleitfaden herunterladen

Für Nutzer bedeutet das eine Rückbesinnung auf grundlegende Sicherheitsprinzipien: Barrierefreiheitsrechte für unbekannte Apps deaktivieren. Misstrauisch sein gegenüber unaufgeforderten Service-Meldungen.

Meta plant zudem, die Ende-zu-Ende-Verschlüsselung für Instagram zum 8. Mai 2026 einzustellen. Das dürfte die Debatte um die Sicherheit privater Kommunikation weiter anheizen. Die EU-Institutionen arbeiten unterdessen an eigenen Messenger-Lösungen wie dem BundesMessenger oder Wire Bund.

de | boerse | 69246725 |