WhatsApp hat umfassende Sicherheitsmaßnahmen angekündigt – Grund ist eine dramatische Zunahme von Betrugsversuchen und gezielten Angriffen auf Nutzerkonten.
In den letzten Monaten verzeichneten Sicherheitsforscher eine neue Qualität bei der Manipulation von Anwendern. Die Palette reicht von gefälschten Identitätsprüfungen bis zu komplexen Cyber-Betrugssystemen. Besonders in Schwellenländern wie Indien reagiert die Plattform nun mit massiven Kontosperrungen und neuen KI-basierten Erkennungswerkzeugen.
9.400 Konten gesperrt – Betrugszentren in Südostasien
Von Januar bis März 2026 hat WhatsApp mehr als 9.400 Konten gesperrt. Sie standen direkt mit sogenannten „Digital Arrest“-Betrügereien in Verbindung. Das geht aus einem Statusbericht zur Cyberkriminalität hervor, den die indische Regierung kürzlich beim Supreme Court einreichte.
Die Betrugsfälle werden häufig von Zentren in Südostasien gesteuert – vor allem aus Kambodscha. Die Täter geben sich als Polizeibeamte aus, setzen ihre Opfer unter Druck und erpressen hohe Geldsummen. In einem Fall in Delhi ermittelte das Central Bureau of Investigation (CBI) bei einem Schaden von über 220 Millionen Rupien.
Neue Abwehrmechanismen: Logo-Erkennung und Konto-Alter
WhatsApp implementiert mehrere neue Sicherheitswerkzeuge. Dazu gehört eine automatisierte Logo-Erkennung, die verhindern soll, dass Betrüger offizielle Behörden- oder Firmenlogos in ihren Profilen verwenden. Ergänzt wird das durch KI-Modelle, die verdächtige Verhaltensmuster identifizieren, sowie eine Datenbank für Wiederholungstäter.
Nutzer erhalten künftig Warnungen, wenn Nachrichten von unbekannten Konten eingehen. Auch das Alter eines Kontos soll sichtbar sein – das hilft bei der Einschätzung der Authentizität. Bei Anrufen von unbekannten Nummern werden Profilbilder automatisch verborgen.
Angesichts der ausgeklügelten Betrugsmaschen im Netz wird der Schutz persönlicher Daten auf dem Mobilgerät immer wichtiger. Warum IT-Experten genau diese fünf Schutzmaßnahmen für jedes Smartphone empfehlen, erfahren Sie in diesem kostenlosen Ratgeber. 5 Schutzmaßnahmen für Ihr Smartphone jetzt entdecken
Indien plant biometrische SIM-Prüfung bis Dezember
Die regulatorischen Anforderungen steigen parallel. Die indische Regierung plant die Einführung eines biometrischen SIM-Identitätsprüfungssystems (BIVS) bis Dezember 2026. Es soll sicherstellen, dass SIM-Karten eindeutig identifizierbaren Personen zugeordnet sind. Kompromittierte Karten sollen innerhalb von zwei bis drei Stunden gesperrt werden.
WhatsApp hat sich verpflichtet, eine engere Bindung zwischen SIM-Karte und Nutzerkonto zu gewährleisten. Gelöschte Kontoinformationen sollen zudem 180 Tage für Ermittlungszwecke vorgehalten werden.
KYCShadow: Neue Android-Malware schleicht sich über WhatsApp ein
Sicherheitsforscher von Cyfirma identifizierten im April 2026 einen neuen Android-Banking-Trojaner namens KYCShadow. Er verbreitet sich primär über WhatsApp-Nachrichten, die als dringende Aufforderung zur Durchführung eines „Know Your Customer“-Prozesses getarnt sind.
Die Malware nutzt eine zweistufige Architektur. Ein erster Dropper installiert eine sekundäre Payload, die SMS-Nachrichten abfangen, USSD-Codes ausführen und sensible Daten wie Aadhaar-Nummern, ATM-PINs sowie Kreditkartendaten auslesen kann.
Besonders perfide: KYCShadow nutzt lokale VPN-Tunnel, um den Datenverkehr zu überwachen und Sicherheitsmechanismen wie Google Play Protect zu umgehen. Die Fernsteuerung erfolgt über Firebase Cloud Messaging, die gestohlenen Daten landen auf externen Servern.
Fast zeitgleich entdeckten Experten von Osservatorio Nessuno die Spyware „Morpheus“. Sie wird über manipulierte Android-Apps verbreitet und mit einer italienischen Überwachungsfirma in Verbindung gebracht. Morpheus missbraucht Bedienungshilfen des Betriebssystems, um Antiviren-Programme zu deaktivieren und weitreichende Zugriffsrechte zu erlangen.
Studie offenbart eklatante Sicherheitslücken in Apps
Diese Entwicklungen unterstreichen die Ergebnisse einer aktuellen Studie des Sicherheitsunternehmens Quokka. Bei der Analyse von rund 150.000 mobilen Anwendungen stellten die Forscher fest: 89,1 Prozent der Android-Apps und 17,6 Prozent der iOS-Apps verwenden unverschlüsselte Sockets.
Zudem wiesen 47,8 Prozent der Android-Anwendungen hartcodierte kryptografische Schlüssel auf – das erleichtert Angreifern das Entschlüsseln von Daten erheblich. Kritische Sicherheitslücken fanden sich in elf Prozent der Android- und 13 Prozent der iOS-Apps.
WhatsApp baut eigenen Cloud-Backup-Dienst mit Ende-zu-Ende-Verschlüsselung
Als Reaktion auf die anhaltenden Bedrohungen entwickelt WhatsApp einen eigenen, vollständig Ende-zu-Ende-verschlüsselten Cloud-Backup-Dienst. Bisher waren Nutzer auf die Speicherlösungen von Google Drive oder Apple iCloud angewiesen – die Verschlüsselung hängt dort oft von den Einstellungen der Drittanbieter ab.
Das neue System sieht vor, Backups direkt auf WhatsApp-eigenen Servern zu sichern. Der Zugriff soll ausschließlich über biometrische Authentifizierung wie Fingerabdruck- oder Gesichtsscan sowie über einen 64-stelligen Sicherheitsschlüssel oder ein Passwort möglich sein.
Geplant ist ein gestaffeltes Speichermodell: eine kostenlose Basisversion mit 2 Gigabyte, für größere Datenmengen von bis zu 50 Gigabyte könnten monatlich etwa 0,99 US-Dollar anfallen. Das Feature befindet sich in der Testphase und soll nach Abschluss umfangreicher Sicherheitsaudits global ausgerollt werden.
Großbritannien verbietet Standard-Passwörter für IoT-Geräte
Parallel zu den internen Maßnahmen profitieren Nutzer von neuen gesetzlichen Rahmenbedingungen. Im Vereinigten Königreich treten Ende April 2026 die weltweit ersten Gesetze für die Sicherheit des Internets der Dinge (PSTI-Regime) in Kraft.
Sie verbieten unter anderem die Verwendung von Standard-Passwörtern wie „admin“ oder „12345“ bei vernetzten Geräten und verpflichten Hersteller zu transparenten Update-Zeiträumen. Das reduziert das Risiko, dass kompromittierte IoT-Geräte als Einfallstor für Angriffe auf Smartphones und Kommunikations-Apps dienen.
KI als zweischneidiges Schwert in der Cybersicherheit
Die aktuelle Bedrohungslage wird durch den Einsatz von Künstlicher Intelligenz auf beiden Seiten verschärft. Während Angreifer KI nutzen, um Phishing-E-Mails glaubwürdiger zu gestalten oder Stimmen für betrügerische Anrufe zu klonen, setzen Sicherheitsanbieter auf automatisierte Abwehrsysteme.
Ein prominentes Beispiel ist das Modell Claude Mythos von Anthropic, das im April 2026 demonstrierte, wie Schwachstellen in Betriebssystemen und Internet-Infrastrukturen autonom gefunden werden können. Experten wie Bruce Schneier weisen darauf hin: Solche Technologien stärken die Verteidigung bei patchbaren Systemen wie Smartphones, gefährden aber zunehmend unpatchbare Systeme wie ältere IoT-Hardware.
Für WhatsApp-Nutzer bedeutet das eine doppelte Herausforderung: Sie müssen sich gegen technologisch hochentwickelte Malware wehren – und gegen psychologisch geschickte Social-Engineering-Angriffe.
Signal-Hack zeigt: Verschlüsselung schützt nicht vor Kontoübernahme
Dass auch verschlüsselte Messenger nicht immun gegen Kontoübernahmen sind, zeigten Vorfälle bei der Konkurrenz-App Signal. Russische Hacker übernahmen dort Konten in Deutschland, indem sie Authentifizierungscodes abgriffen.
Das verdeutlicht: Die Ende-zu-Ende-Verschlüsselung schützt zwar den Inhalt der Nachrichten. Der Zugang zum Konto selbst bleibt aber ein kritischer Schwachpunkt – besonders wenn die Multi-Faktor-Authentifizierung durch Täuschung umgangen wird.
Wie die Vorfälle bei Signal und die neue Android-Malware zeigen, reicht Verschlüsselung allein oft nicht aus, um Konten vor Übernahmen zu schützen. Dieser kostenlose Ratgeber enthüllt, wie Kriminelle Ihr Smartphone ausspähen und mit welchen einfachen Schritten Sie sich wirksam schützen können. GRATIS-PDF Sicherheitspaket herunterladen
WhatsApp stellt Support für Android 5.0 und 5.1 ein
Die Sicherheitslandschaft für mobile Kommunikation wird sich im weiteren Verlauf des Jahres 2026 massiv verändern. WhatsApp hat bereits angekündigt, den Support für ältere Android-Versionen zum 8. September 2026 einzustellen.
Betroffen sind Geräte mit Android 5.0 und 5.1. Das zwingt insbesondere Nutzer in Indien, Brasilien und Südostasien dazu, ihre Hardware zu aktualisieren, um weiterhin Sicherheitsupdates zu erhalten.
Parallel dazu wird Google im Rahmen seiner System-Updates den Credential Manager stärken. Logins ohne SMS-Codes sollen durch biometrische Bestätigungen ersetzt werden.
iOS 26.5 bringt RCS-Verschlüsselung – iOS 27 im Juni erwartet
Apple-Nutzer können mit der Veröffentlichung von iOS 26.5 im Mai 2026 rechnen. Es führt unter anderem eine Ende-zu-Ende-Verschlüsselung für den RCS-Standard (Rich Communication Services) in einer Beta-Version ein. Das soll die Sicherheit beim Nachrichtenaustausch zwischen iPhones und Android-Geräten verbessern.
Für Juni 2026 wird die Ankündigung von iOS 27 erwartet. Zudem steht ein personeller Wechsel an der Spitze des Unternehmens an: John Ternus soll im September 2026 die Nachfolge von Tim Cook als CEO antreten. Die Branche steht vor einer Phase technologischer Neuausrichtung – die Integration von KI in Sicherheitsarchitekturen spielt dabei eine zentrale Rolle.
