WhatsApp-Trojaner bedroht brasilianische Bankkunden

Eine neue Malware-Kampagne nutzt WhatsApp, um ein gefährliches Banking-Schadprogramm zu verbreiten. Der „Water Saci“ getaufte Angriff schleust über scheinbar vertrauenswürdige Nachrichten von Bekannten einen Wurm namens „SORVEPOTEL“ ein, der gezielt Windows-Nutzer ins Visier nimmt.

Die perfide Taktik: Opfer erhalten von Freunden oder Kollegen ZIP-Dateien, die als Rechnungen oder Geschäftsdokumente getarnt sind. Die Nachricht enthält oft den Hinweis, die Datei könne nur am Desktop geöffnet werden – ein Trick, um sicherzustellen, dass die Malware auf Windows-Rechnern und nicht auf Smartphones ausgeführt wird.

Sobald das Opfer die ZIP-Datei öffnet und auf die darin enthaltene Verknüpfung klickt, startet eine Kaskade von PowerShell-Befehlen im Hintergrund. Die Malware kopiert sich in den Windows-Autostart und übernimmt aktive WhatsApp-Web-Sitzungen, um sich automatisch an alle Kontakte und Gruppen des Nutzers weiterzusenden.

Das eigentliche Ziel der Angriffskette ist die Installation des Banking-Trojaners „Maverick“. Diese .NET-basierte Schadsoftware überwacht kontinuierlich die Browser-Aktivitäten und schlägt zu, sobald Nutzer die Websites bestimmter brasilianischer Banken besuchen.

Zu den Zielen gehören Großbanken wie Banco do Brasil, Itaú und Bradesco sowie die Krypto-Börse Binance. Maverick setzt auf verschiedene Diebstahl-Techniken: Keylogging, Screenshots und gefälschte Overlay-Fenster, die Nutzer dazu verleiten, ihre Login-Daten preiszugeben.

Besonders raffiniert: Die Malware prüft, ob sie auf einem System in Brasilien läuft und aktiviert sich nur dort. Zusätzlich erkennt sie Debugging-Tools und andere Analysewerkzeuge, um Sicherheitsforschern zu entgehen.

457 von 477 Fällen in Brasilien

Die Zahlen von Trend Micro sprechen eine deutliche Sprache: 457 der 477 gemeldeten Infektionen stammen aus Brasilien. Betroffen sind Unternehmen aus den Bereichen Verwaltung, Fertigung, Technologie und Bildung.

Sicherheitsexperten sehen Parallelen zu früheren brasilianischen Banking-Trojanern wie „Coyote“ und vermuten, dass Water Saci eine Weiterentwicklung bereits bekannter Bedrohungen darstellt. Die Nutzung von WhatsApp als Verteilungsweg ist dabei besonders heimtückisch, da Nutzer Dateien von bekannten Kontakten deutlich eher vertrauen.
Anzeige: WhatsApp wird hier als Einfallstor missbraucht – und viele unterschätzen, wie schnell darüber Konten und Daten in Gefahr geraten. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone, mit denen Sie WhatsApp, Online‑Banking und PayPal ohne teure Zusatz‑Apps absichern. Schritt für Schritt erklärt, sofort umsetzbar. Jetzt das kostenlose Sicherheitspaket für Android sichern

Wie können sich Nutzer schützen?

Experten raten zu größter Vorsicht bei unaufgeforderten Anhängen – selbst wenn sie scheinbar von vertrauenswürdigen Quellen stammen. Vor dem Öffnen verdächtiger Dateien sollten Empfänger den Absender über einen anderen Kommunikationskanal kontaktieren.

Unternehmen müssen ihre Mitarbeiter über diese spezielle Bedrohung aufklären und ihre Netzwerke auf ungewöhnliche PowerShell-Aktivitäten überwachen. Der erste Schutzwall bleibt ein skeptischer und gut informierter Nutzer, unterstützt von modernen Sicherheitslösungen.