Das ist ein allgemeines Thema und hat mit Threema an sich nicht direkt zu tun.
Quellen-TKÜ bedeutet, dass man einen "Bundestrojaner" über Sicherheitslücken im Betriebssystem des Handys auf des Gerät des Opfers schleust. Dieser "Bundestrojaner" läuft mit den Rechten des Betriebssystems, kann also alles sehen und hören, was auf dem Handy so abgeht.
Jede App, auch Threema, kann nur so sicher sein, wie das Betriebssystem, auf dem sie läuft.
Der "Bundestrojaner" ist, wie jede Schadsoftware, auf Sicherheitslücken im Betriebssystem angewiesen, um sich einnisten zu können. Das Ziel muss also sein, zu verhindern, dass diese Schadsoftware überhaupt aufs Handy kommt. Einige Verhaltensregeln:
- Immer die neueste Android-Version mit dem aktuellen monatlichen Sicherheitspatch verwenden. Wer heutzutage mit Android 9 oder älter oder ohne aktuelle Sicherheitspatches unterwegs ist, ist auf jeden Fall gefährdet
- Das Handy auf keinen Fall rooten
- Keine Apps aus dubiosen Quellen installieren, ggf. vor dem Installieren den Hash der Paketdatei überprüfen
- Alle Bloatware und Crapware, die oft auf den Handys vorinstalliert ist, deaktivieren oder deinstallieren (z.B. mittels adb)
- Nur mit einem Adblocker (z.B. uBlock Origin) browsen
- Nicht die DNS-Server des Providers verwenden
- Wenn beim Aktualisieren einer App gewarnt wird, dass die Signatur nicht übereinstimme - keinesfalls installieren
Von "Internet-Sicherheits" oder "Antiviren"-Apps ist abzuraten. Diese werden den Staatstrojaner kaum erkennen, haben aber auch sonst mehr Nachteile als Vorteile und sind bestenfalls unnötig, wenn man sich an obige Regeln hält.