WhatsApp: Neue Malware-Welle und „Ghost Pairing“-Betrug bedrohen Nutzer

Cybersicherheitsexperten warnen eindringlich vor zwei neuen, raffinierten Betrugsmethoden, die WhatsApp-Nutzer weltweit gefährden. Im Fokus stehen ein sich rasend schnell verbreitender Banking-Trojaner und eine kaum zu erkennende Methode zur Account-Übernahme.

Die kritischste Entwicklung ist eine neue Kampagne des berüchtigten Astaroth-Banking-Trojaners. Forscher der Acronis Threat Research Unit identifizierten die als „Boto Cor-de-Rosa“ (Rosa Delfin) bezeichnete Attacke am Donnerstag und Freitag. Sie markiert eine gefährliche Evolution: Die Schadsoftware verbreitet sich erstmals wie ein Wurm über WhatsApp Web.

Ein Python-basiertes Skript erfasst automatisch die Kontaktliste des Opfers und verschickt bösartige ZIP-Archive an Freunde, Familie und Kollegen. Die Nachrichten wirken vertrauenswürdig und beiläufig, etwa mit dem Text: „Hier ist die angeforderte Datei. Bei Fragen bin ich da!“ Diese Social-Engineering-Taktik nutzt das natürliche Vertrauen zwischen Kontakten aus.

Passend zum Thema WhatsApp-Sicherheit: Wenn Sie sich wegen Methoden wie Ghost Pairing oder automatisch verschickter Schad-Archive Sorgen machen, kann das kostenlose Telegram-Startpaket beim sicheren Umstieg helfen. Der Report erklärt Schritt für Schritt, wie Sie Telegram auf Smartphone, Tablet und PC einrichten, geheime Chats nutzen und Ihre Nummer verbergen – so stoppen Sie neugierige Mitleser und reduzieren Account-Risiken. Telegram-Startpaket jetzt gratis anfordern

Öffnet das Opfer die ZIP-Datei – oft mit einer Zahlenfolge benannt –, wird ein stark verschleiertes Skript ausgeführt. Es installiert nicht nur den Astaroth-Trojaner, um nach Bankdaten zu spähen, sondern aktiviert auch den Python-Verbreitungsmechanismus. So infiziert sich das Netzwerk des Nutzers selbstständig weiter.

„Ghost Pairing“: Die unsichtbare Account-Übernahme

Parallel warnen Verbraucherschützer vor einer Social-Engineering-Methode namens „Ghost Pairing“. Sie nutzt die „Verbundene Geräte“-Funktion von WhatsApp aus, mit der Nutzer ihren Account auf PCs oder Tablets nutzen können.

Betrüger bringen Opfer dazu, ihr Konto mit einem fremdgesteuerten Gerät zu verknüpfen. Dazu kontaktieren sie das Opfer – oft von einem gehackten Account eines Freundes aus – mit einer gefälschten Notfallmeldung. Eine gängige Masche: „Ups, ich habe aus Versehen einen Code an dein Handy geschickt. Kannst du ihn mir zurückschicken?“ Sendet das Opfer den Pairing-Code, hat der Angreifer vollen Zugriff.

Das Tückische: Das Opfer wird nicht aus seinem Account ausgesperrt und bemerkt den Eindringling oft lange nicht. Der Angreifer kann Chats mitlesen, sensible Daten stehlen und im Namen des Opfers Geld von Kontakten erbitten.

Hybrid-Bedrohungen fordern neue Wachsamkeit

Diese Entwicklungen zeigen einen Trend zu hybriden Bedrohungen, die technische Schwachstellen mit psychologischer Manipulation verbinden. Die „Boto Cor-de-Rosa“-Kampagne ist technisch modular aufgebaut: Während der Kern-Trojaner in Delphi geschrieben ist, ist das Verbreitungsmodul in Python, was eine schnelle Anpassung ermöglicht.

Die Kampagne begann mit hoher Aktivität in Südamerika, insbesondere Brasilien. Aufgrund der „Wurm“-Funktion kann sie jedoch schnell Ländergrenzen überschreiten, sobald infizierte Nutzer internationale Kontakte anschreiben.

Die Sicherheitsbranche rät Nutzern zu äußerster Vorsicht bei Dateianhängen – selbst von bekannten Kontakten. Das Prinzip „Vertrauen, aber prüfen“ reicht nicht mehr aus. Experten empfehlen, unerwartete Dateien über einen zweiten Kanal, etwa einen Anruf, zu verifizieren, bevor man sie öffnet.

Was kommt auf Nutzer zu?

Sicherheitsforscher prognostizieren für 2026 eine Zunahme KI-gestützter Lokalisierung solcher Betrugsmaschen. Der Einsatz von Python im Astaroth-Verteiler legt nahe, dass Angreifer leicht Übersetzungsmodule integrieren können. So würden täuschend echte Nachrichten in Dutzenden Sprachen generiert.

Der Erfolg von „Ghost Pairing“ offenbart zudem eine Schwachstelle im Nutzer-Interface-Design. Analysten erwarten, dass Messaging-Dienste bald striktere biometrische Hürden einführen könnten. Denkbar ist eine verpflichtende Gesichts- oder Fingerabdruck-Überprüfung bei jeder neuen Geräteverknüpfung.

Bis dahin sollten Nutzer sofort ihre Einstellungen für „Verbundene Geräte“ in WhatsApp überprüfen und unbekannte Sitzungen beenden. Eine weitere kritische Schutzschicht: Das automatische Herunterladen von Medien und Dateien in den App-Einstellungen deaktivieren.

PS: Viele Opfer merken Account-Übernahmen zu spät. Das kostenlose Telegram-Startpaket zeigt praktisch, wie Sie verbundene Geräte prüfen, verdächtige Sitzungen beenden und dauerhaft Ihre Privatsphäre schützen. Inklusive leicht verständlicher Einrichtungshilfe und den wichtigsten Sicherheitseinstellungen für den Alltag. Telegram-Startpaket kostenlos herunterladen