Sturnus, Android-Trojaner

Sturnus: Android-Trojaner hebelt WhatsApp-Verschlüsselung aus

21.11.2025 - 00:10:12

Sicherheitsforscher warnen vor Android-Schadsoftware Sturnus, die über Bedienungshilfen verschlüsselte Messenger-Chats ausliest und Banking-Daten stiehlt. Der Trojaner ist bereits voll funktionsfähig.

Sturnus: Android-Trojaner hebelt WhatsApp-Verschlüsselung aus - Foto: über boerse-global.de
Sturnus: Android-Trojaner hebelt WhatsApp-Verschlüsselung aus - Foto: über boerse-global.de

Eine neuartige Android-Malware alarmiert Sicherheitsexperten: “Sturnus” stiehlt nicht nur Bankdaten, sondern liest verschlüsselte Chats von WhatsApp und Signal mit – durch einen perfiden technischen Trick.

Sicherheitsforscher von ThreatFabric haben eine hochgefährliche Android-Schadsoftware entdeckt, die eine beunruhigende Evolution darstellt. Der Trojaner “Sturnus” kombiniert Banking-Betrug mit gezielter Messenger-Spionage und attackiert gezielt Nutzer in Süd- und Zentraleuropa.

Anders als herkömmliche Banking-Trojaner begnügt sich Sturnus nicht mit Finanzdaten. Die Malware zielt aggressiv auf private Kommunikation in WhatsApp, Telegram und Signal ab – und umgeht dabei technisch geschickt die Ende-zu-Ende-Verschlüsselung.

So funktioniert die Chat-Spionage

WhatsApp und Signal gelten dank Ende-zu-Ende-Verschlüsselung als abhörsicher. Doch Sturnus greift nicht den Datenverkehr an, sondern nutzt einen anderen Weg: Die Malware liest Nachrichten direkt vom Bildschirm aus, nachdem sie bereits entschlüsselt wurden.

Der Trick: Sturnus fordert Zugriff auf die Bedienungshilfen (Accessibility Services) des Android-Systems. Einmal gewährt, übernimmt die Malware praktisch die volle Kontrolle über das Gerät. Sie wartet, bis Nutzer ihre Messenger-Apps öffnen, und liest dann systematisch die Benutzeroberfläche aus.

Anzeige

Passend zum Thema Android-Sicherheit: Sturnus nutzt Bedienungshilfen und gefälschte Updates — viele Nutzer wissen nicht, wie sie sich dagegen schützen können. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android mit klaren Schritt-für-Schritt-Anleitungen: Wie Sie Bedienungshilfen prüfen, Sideloading vermeiden, Google Play Protect aktivieren und verdächtige Apps erkennen. Ideal für Nutzer von WhatsApp, Telegram und Mobile-Banking. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Ganze Chatverläufe, Kontaktnamen und eingehende Nachrichten werden in Echtzeit an die Server der Angreifer übermittelt. Die Verschlüsselung wird damit faktisch nutzlos – die Spionage setzt direkt am Auge des Nutzers an.

Perfekte Tarnung als App-Update

Sturnus tarnt sich als harmloses Google Chrome-Update oder nützliche Apps wie “Preemix Box”. Befindet sich die Malware erst auf dem Gerät, beginnt der eigentliche Angriff.

Die technische Raffinesse geht weit über bloßes Phishing hinaus:

  • Overlay-Attacken auf Banking-Apps: Gefälschte Anmeldemasken legen sich über echte Banking-Apps und fangen Zugangsdaten ab
  • Fernzugriff via VNC: Angreifer können den Bildschirm live streamen und Transaktionen selbst durchführen
  • Deinstallations-Sperre: Die Malware blockiert Löschversuche durch automatisches Drücken des Zurück-Buttons

Versucht ein Nutzer, die App zu entfernen oder Rechte zu entziehen, kann Sturnus den Vorgang aktiv sabotieren.

Noch in der Testphase – aber voll funktionsfähig

ThreatFabric stuft Sturnus als “in der Entwicklungsphase” ein, doch die Malware ist bereits voll einsatzfähig. Der Code enthält spezifische Vorlagen für Banken in mehreren europäischen Ländern – ein klares Indiz für eine geplante, groß angelegte Kampagne.

Die Namensgebung ist treffend gewählt: Wie ein Star (lateinisch: Sturnus), der andere Vögel imitiert, passt sich die Malware ihrer Umgebung an. Sie nutzt eine Mischung aus Klartext-, AES- und RSA-Verschlüsselung, um von Sicherheitssoftware unentdeckt zu bleiben.

Experten warnen vor einer aggressiveren Verbreitung in den kommenden Wochen. Die Hintermänner dürften die Malware über Phishing-SMS und manipulierte Werbeanzeigen massenhaft verteilen.

Ein Weckruf für Android-Nutzer

Das Auftauchen von Sturnus markiert einen besorgniserregenden Trend: Die Verschmelzung von Banking-Trojanern mit Spionage-Werkzeugen. Während ältere Malware-Familien wie Anatsa oder Cerberus primär auf finanzielle Bereicherung zielten, zeigt Sturnus das Interesse an ganzheitlichen Datenprofilen.

Die Nutzung der Bedienungshilfen als “Dietrich” bleibt eine bekannte, aber schwer zu schließende Sicherheitslücke. Google hat die Hürden für das Sideloading zwar erhöht, doch Social-Engineering-Tricks verleiten Nutzer weiterhin dazu, Schutzmechanismen manuell zu deaktivieren.

So schützen Sie sich:

  • Installieren Sie Apps ausschließlich aus dem Google Play Store
  • Seien Sie extrem skeptisch bei Anfragen für Bedienungshilfen-Zugriff
  • Aktivieren Sie Google Play Protect auf Ihrem Gerät

Ende-zu-Ende-Verschlüsselung schützt Daten auf dem Transportweg. Doch die Sicherheit des Endgeräts selbst ist das neue Schlachtfeld – und erfordert höchste Wachsamkeit.

Anzeige

PS: Sie möchten Ihr Smartphone wirklich sicher machen? Der kostenlose Ratgeber fasst die 5 wichtigsten Maßnahmen kompakt zusammen, inklusive Checklisten und konkreten Anleitungen — so schließen Sie Lücken, die Malware wie Sturnus ausnutzt. Laden Sie das Gratis-Paket herunter und prüfen Sie Ihr Gerät Schritt für Schritt, bevor ein Angriff passiert. Gratis-Ratgeber: Android-Schutz jetzt anfordern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler