WhatsApp-Schwachstellen und TCLBANKER: Neue Bedrohung für Millionen Nutzer

Forscher haben gleich mehrere neue Gefahren identifiziert, die sowohl Privatnutzer als auch Unternehmen betreffen. Während Meta kritische Lücken in seiner Kommunikationsinfrastruktur schloss, sorgt der neu entdeckte Trojaner TCLBANKER für Alarm – er nutzt WhatsApp und Outlook als Einfallstore.

TCLBANKER: Banking-Trojaner mit Doppelstrategie

Da Messenger-Dienste und mobiles Banking immer häufiger zum Ziel von Cyberkriminellen werden, ist ein grundlegender Schutz für das Mobilgerät heute unverzichtbar. Ein kostenloser Ratgeber zeigt in 5 einfachen Schritten, wie Sie Ihr Smartphone wirksam gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt entdecken

Sicherheitsanalysten von Elastic Security Labs entdeckten am heutigen Donnerstag einen spezialisierten Banking-Trojaner mit Ursprung in Brasilien. TCLBANKER zielt auf 59 verschiedene Finanzinstitute ab, darunter Banken, Fintechs und Kryptoplattformen.

Die Infektionskette beginnt meist mit einem manipulierten Installer für Logitech-Software. Ist der Trojaner erst aktiv, setzt er mehrere Module zur finanziellen Schädigung ein. Besonders perfide: Das Schadprogramm nutzt Windows Presentation Foundation (WPF) für Echtzeit-Social-Engineering. Während einer aktiven Bankingsitzung werden Nutzer zur Preisgabe sensibler Zugangsdaten verleitet.

Der Trojaner enthält zudem eine wurmartige Komponente, die ihn automatisch über die Kontaktlisten von WhatsApp und Outlook verbreitet. Zur Tarnung setzt TCLBANKER auf raffinierte Anti-Analyse-Techniken – darunter umgebungsabhängige Verschlüsselung und die Nutzung von Cloudflare Workern für die Steuerungskommunikation.

Meta schließt kritische Sicherheitslücken

Erst Anfang Mai hatte Meta zwei schwerwiegende Schwachstellen geschlossen. Die als CVE-2026-23863 und CVE-2026-23866 gelisteten Lücken stellten ein erhebliches Risiko für die Privatsphäre der Nutzer dar.

Die erste Schwachstelle betraf die Windows-Version des Messengers. Angreifer konnten ausführbare Dateien (EXE) als PDF-Dokumente tarnen – eine klassische Phishing-Masche. Öffnete ein Nutzer die vermeintliche PDF, konnte beliebiger Code ausgeführt werden.

Die zweite Lücke betraf sowohl Android als auch iOS. Hier standen Speicherverwaltung und Eingabevalidierung im Fokus. Die Patches sind verfügbar, doch Sicherheitsexperten betonen: Der Schutz hängt von der schnellen Installation durch die Nutzer ab.

Messaging-Plattformen im Visier von Hackern

Die Bedrohungslage beschränkt sich nicht auf WhatsApp. Im Frühjahr 2026 beobachtete die Sicherheitsfirma Rapid7 die iranische Gruppe MuddyWater bei Spionageoperationen. Die Gruppe, die dem iranischen Geheimdienstministerium (MOIS) zugerechnet wird, nutzte Microsoft Teams für Social-Engineering-Angriffe. Durch die Vorspiegelung falscher Identitäten als Administratoren gelang es ihnen, Zugangsdaten zu stehlen und Multi-Faktor-Authentifizierungen zu manipulieren.

Wenn Programme wie Outlook zum Einfallstor für Schädlinge werden, kosten fehlerhafte Einstellungen oft wertvolle Zeit und gefährden die Datensicherheit. Ein kostenloser Experten-Ratgeber zeigt Ihnen, wie Sie Ihr System korrekt konfigurieren und Ihre E-Mail-Kommunikation professionell absichern. Gratis Outlook-Spezialkurs jetzt anfordern

Auch in Thailand schlugen Behörden Alarm: Der JSceal-Schädling zielt auf Windows-Nutzer ab und stiehlt Passwörter, Kryptowährungen und Einmalpasswörter (OTPs). Besonders tückisch: Die Malware synchronisiert sich mit Google Messages auf dem PC und fängt so die Sicherheitscodes ab.

Trend Micro warnte zudem vor dem Quasar Linux (QLNX) Remote Access Trojaner. Dieser Schädling zielt gezielt auf Softwareentwickler ab und versucht, Zugangsdaten für AWS, Kubernetes, Docker und Git zu stehlen. Das Ziel: Die Kompromittierung der gesamten Software-Lieferkette.

Behörden reagieren: Zertifizierte Kommunikation gefordert

Der Deutsche Bundestag plant eigenen Berichten zufolge einen Wechsel von Signal zu Wire – aus Sorge vor Sicherheitslücken und Hackeraktivitäten. Dieser Schritt spiegelt einen breiteren Trend wider: Institutionen suchen nach Kommunikationslösungen mit überprüfbaren Sicherheitsmerkmalen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat begonnen, IT-Sicherheitslabels an Dienstanbieter zu vergeben. Vodafone erhielt als erster deutscher Netzbetreiber diese Auszeichnung für seine E-Mail- und Cloud-Dienste. BSI-Präsidentin Claudia Plattner betonte, solche Zertifikate seien essenziell, um Verbrauchern und Unternehmen Orientierung zu bieten.

International veröffentlichten CISA und die „Five Eyes“-Partner (Großbritannien, Kanada, Australien, Neuseeland) einen neuen Sicherheitsleitfaden für agentische KI. Die Richtlinie benennt fünf zentrale Gefahrenbereiche – darunter Berechtigungen, Design und Verantwortlichkeit.

Analyse: Warum Messaging-Apps zum Risiko werden

Die Kombination aus Banking-Trojanern und ausgenutzten Messenger-Lücken zeigt einen Strategiewechsel der Cyberkriminellen. Während Unternehmen ihre Perimetersicherheit verstärkt haben, konzentrieren sich Angreifer zunehmend auf die menschliche Ebene und die täglich genutzten Kollaborationstools.

Messaging-Apps umgehen oft strenge Unternehmensfirewalls durch autorisierte Desktop-Integrationen – ein idealer Weg für Datendiebstahl und laterale Bewegungen im Netzwerk. Social Engineering über Plattformen wie Microsoft Teams und WhatsApp ist besonders effektiv, weil diese Umgebungen von Nutzern als vertrauenswürdige Zonen wahrgenommen werden.

Das BSI verzeichnet Rekordschäden durch solche Aktivitäten. Schätzungen zufolge belaufen sich die Kosten allein in Deutschland auf bis zu 289 Milliarden Euro.

Ausblick: Strengere Regulierung ab 2026

Die regulatorischen Anforderungen werden deutlich verschärft. Die EU-NIS-2-Richtlinie, seit Dezember 2025 in Kraft, betrifft allein in Deutschland rund 29.500 Unternehmen. Sie müssen Sicherheitsvorfälle innerhalb von 24 Stunden melden – die Geschäftsführung haftet persönlich bei Verstößen.

Der EU AI Act tritt am 2. August 2026 in Kraft und droht mit Strafen von bis zu sieben Prozent des globalen Umsatzes. Am 11. September 2026 folgt der Cyber Resilience Act. Für Messaging-Plattformen bedeutet das: Security by Design ist keine Option mehr, sondern Pflicht. Die Fähigkeit, Schwachstellen schnell zu schließen und neue Bedrohungen wie TCLBANKER zu neutralisieren, wird über das Vertrauen der Nutzer entscheiden.

de | wissenschaft | 69287568 |