Sturnus-Trojaner: Neue Malware liest verschlüsselte Nachrichten

Eine hochentwickelte Banking-Malware umgeht Ende-zu-Ende-Verschlüsselung – und das nur Tage bevor die EU die Haftung für Online-Betrug neu regelt. Zwei Entwicklungen, die die Zukunft der digitalen Finanzsicherheit prägen könnten. Doch was bedeutet das konkret für Verbraucher und Banken?

Die letzte Novemberwoche 2025 markiert einen Wendepunkt: Während Sicherheitsforscher vor dem Banking-Trojaner „Sturnus” warnen, der verschlüsselte Chat-Inhalte auslesen kann, einigten sich EU-Unterhändler auf strengere Regeln. Künftig müssen Tech-Konzerne für Betrugsfälle auf ihren Plattformen haften.

Zwischen dem 20. und 24. November entdeckten Cybersecurity-Experten von ThreatFabric und MTI Security eine neue Bedrohung für Android-Nutzer. Der Trojaner Sturnus setzt auf eine beunruhigend simple Strategie: Statt die Verschlüsselung von WhatsApp, Telegram oder Signal zu knacken, wartet die Malware einfach ab.

Sobald der Nutzer eine Messaging-App öffnet, greift Sturnus auf die Bedienungshilfen (Accessibility Services) von Android zu. Die Nachrichten liegen zu diesem Zeitpunkt bereits entschlüsselt vor – und der Trojaner liest sie direkt vom Bildschirm ab. Verschlüsselung? Umgangen, ohne einen einzigen Code zu brechen.

Passend zum Thema Android‑Sicherheit: Viele Android‑Nutzer übersehen fünf einfache Schutzmaßnahmen, die gerade vor Banking‑Trojanern wie Sturnus schützen. Unser kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie Bedienungshilfen‑Berechtigungen prüfen, Overlay‑Fenster erkennen, sichere Installationsquellen nutzen und Ihr Gerät für WhatsApp, Telegram und Mobile‑Banking härten. Mit praktischen Checklisten, klaren Screenshots und sofort umsetzbaren Tipps — ohne teure Zusatz‑Apps. Jetzt kostenloses Android‑Sicherheits‑Paket herunterladen

„Ein zentrales Unterscheidungsmerkmal ist die Fähigkeit, verschlüsselte Kommunikation zu umgehen”, warnte ThreatFabric in ihrem Bericht vom 24. November. „Durch das direkte Auslesen entschlüsselter Inhalte vom Bildschirm erhält Sturnus nahezu vollständige Kontrolle über das Gerät.”

Die Angreifer haben es vor allem auf Finanzinstitute in Süd- und Mitteleuropa abgesehen. Mit täuschend echt aussehenden Overlay-Fenstern stehlen sie Login-Daten. Die Malware gelangt meist als vermeintliches Browser-Update oder Systemtool auf das Smartphone – installiert außerhalb des Google Play Store.

Besonders perfide: Sturnus kann eine Geräteübernahme (Device Takeover) durchführen. Während der Angreifer im Hintergrund betrügerische Transaktionen ausführt, wird der Bildschirm des Opfers geschwärzt. Von den Überweisungen bekommt der Nutzer nichts mit.

Brüssel dreht den Spieß um

Während Sicherheitsteams gegen Sturnus aufrüsten, haben EU-Gesetzgeber am Donnerstag, den 27. November eine Grundsatzentscheidung getroffen. Die vorläufige Einigung zur neuen Zahlungsdienste-Verordnung (PSR) und zur dritten Zahlungsdiensterichtlinie (PSD3) bringt eine radikale Neuerung: Online-Plattformen haften künftig für Betrug.

Die Regelung baut auf dem Digital Services Act (DSA) auf und zielt auf „sehr große Online-Plattformen” wie Meta, TikTok und X (ehemals Twitter). Werden Nutzer durch betrügerische Inhalte geschädigt – etwa durch gefälschte Investment-Anzeigen oder Links zu Malware wie Sturnus – und hat die Plattform trotz Meldung nicht reagiert, muss sie zahlen.

„Die heutige Einigung ist ein Erfolg des Parlaments, da sie eine Haftungsregelung für Online-Plattformen etabliert, auf denen Betrug seinen Ursprung nahm”, erklärte René Repasi, der federführende Europaabgeordnete, am Freitag.

Das Prinzip: Wer verschmutzt, bezahlt. Erstattete Banken den Opfern bereits den Schaden, müssen die Plattformen diesen Betrag übernehmen – sofern sie ihrer Sorgfaltspflicht nicht nachgekommen sind.

Neue Spielregeln für Tech-Giganten

Die Verzahnung von DSA und PSR schafft ein dichtes Schutznetz für Verbraucher. Während der DSA, der Anfang 2024 vollständig in Kraft trat, Plattformen zur Risikominimierung verpflichtet, gibt die neue Regelung diesen Anforderungen finanzielle Konsequenzen.

Die Kernpunkte der Einigung umfassen:

• Erstattung bei Identitätsbetrug: Banken müssen Kunden entschädigen, die durch Betrüger hereingelegt wurden, die sich als Bankmitarbeiter ausgaben – vorausgesetzt, der Vorfall wurde bei der Polizei gemeldet.
• Verifizierung von Werbekunden: Plattformen und Suchmaschinen dürfen Finanzdienstleistungen nur von regulierten Unternehmen bewerben, die in dem jeweiligen EU-Mitgliedstaat zugelassen sind.
• Informationsaustausch: Zahlungsdienstleister müssen betrugsrelevante Daten untereinander teilen, um Bedrohungen wie Sturnus oder den ebenfalls aktiven ToxicPanda-Trojaner schneller zu erkennen.

„Online-Plattformen haften gegenüber Zahlungsdienstleistern, die betrogene Kunden entschädigt haben, sofern sie über betrügerische Inhalte informiert wurden und diese nicht entfernten”, bestätigte das Europäische Parlament am 27. November.

Was kommt auf Nutzer und Unternehmen zu?

Für Android-Nutzer heißt es jetzt: höchste Wachsamkeit. Sicherheitsexperten raten dringend davon ab, Apps außerhalb des Google Play Store zu installieren. Wer seine Bedienungshilfen-Berechtigungen regelmäßig überprüft, kann verdächtige Zugriffe frühzeitig erkennen.

Banken und Tech-Konzerne stehen vor hektischen Monaten. Die neuen EU-Regeln sollen 2026 umgesetzt werden. Finanzinstitute dürften aufatmen, da Social-Media-Giganten künftig einen Teil der Erstattungslast tragen. Die Plattformen wiederum werden massiv in Erkennungssysteme investieren müssen – oder hohe Haftungskosten riskieren.

„Dies baut auf dem Digital Services Act auf und erweitert den Schutz”, schrieben Rechtsexperten der Kanzlei Taylor Wessing gestern in einer Analyse. Social-Media-Plattformen werden faktisch zu Wächtern der Finanzsicherheit.

Die Botschaft aus Brüssel zum Jahresende ist unmissverständlich: Die Ära digitaler Straflosigkeit endet. Ob durch technische Patches oder regulatorische Vorgaben – das Netz um das digitale Betrugs-Ökosystem zieht sich zusammen.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer — Tipp 3 schließt eine häufig unterschätzte Lücke, die Banker und Sicherheitsexperten immer wieder sehen. Das kostenlose Sicherheitspaket bietet eine kompakte Anleitung zum Prüfen von App‑Berechtigungen, Schutz vor Overlay‑Angriffen und sicheren Update‑Quellen; ideal für alle, die WhatsApp, Telegram oder Online‑Banking nutzen. Gratis per E‑Mail, jetzt sofort lesbar. Kostenlosen Android‑Sicherheits‑Ratgeber anfordern