Sturnus: Banking-Trojaner knackt verschlüsselte Messenger

Ein neuer Android-Trojaner bringt die Sicherheitsarchitektur mobiler Banken ins Wanken. Zeitgleich warnt Visa vor der „Industrialisierung” der Finanzkriminalität – eine beunruhigende Kombination, die zeigt, wie organisiert Cyberkriminelle mittlerweile vorgehen.

Die Entdeckung der Schadsoftware „Sturnus” fällt in die internationale Woche der Betrugsprävention. Weltweit schlagen Sicherheitsforscher und Aufsichtsbehörden Alarm: Von Hongkong über Europa bis in die USA häufen sich die Warnungen vor einer neuen Generation automatisierter, geografisch gezielter Angriffe auf Banking-Kunden.

Am Donnerstag machten Forscher von ThreatFabric eine besorgniserregende Entdeckung öffentlich: Sturnus hebelt die Ende-zu-Ende-Verschlüsselung beliebter Messenger-Apps aus. Anders als herkömmliche Banking-Trojaner begnügt sich die Malware nicht damit, gefälschte Login-Masken anzuzeigen.

Die Methode ist perfide: Sturnus zeichnet per „Screen Scraping” Bildschirminhalte auf, nachdem sie auf dem Gerät entschlüsselt wurden. WhatsApp, Signal, Telegram – keine der verschlüsselten Anwendungen bietet Schutz, sobald die Schadsoftware auf dem Smartphone installiert ist.

Viele Android-Nutzer unterschätzen, wie gefährlich spezialisierte Banking-Trojaner wie Sturnus sind — Screen Scraping und gefälschte Banking‑Oberflächen können Kriminellen direkten Zugriff verschaffen. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android: App‑Prüfung, Berechtigungen, sichere WhatsApp‑Nutzung, regelmäßige Updates und Anti‑Malware‑Checks. Mit klaren Schritt‑für‑Schritt‑Anleitungen sichern Sie Ihre Konten ohne teure Zusatzsoftware. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Derzeit konzentrieren sich die Angreifer auf Finanzinstitute in Süd- und Mitteleuropa. Mit regional angepassten Nachbildungen echter Banking-Oberflächen täuschen sie Nutzer und greifen Zugangsdaten ab. Das eigentliche Ziel: Die vollständige Kontrolle über das infizierte Gerät zu erlangen.

Banken in der Falle

Was folgt, macht Sturnus besonders gefährlich: Die Malware führt Transaktionen direkt vom Smartphone des Opfers aus. Für Banksysteme sieht es aus, als würde der rechtmäßige Besitzer handeln – schließlich kommen die Überweisungen vom vertrauten Gerät, mit korrekter Authentifizierung.

Sicherheitsalgorithmen, die verdächtige Aktivitäten erkennen sollen, laufen ins Leere. Die Betrüger agieren aus der digitale n Identität ihres Opfers heraus.

Visa: „Sie arbeiten wie Tech-Startups”

Parallel zur Sturnus-Enthüllung legte Visa am 20. November seinen Bedrohungsbericht für Herbst 2025 vor. Die Diagnose des Zahlungsdienstleisters: Cyberkriminelle haben ihre Arbeitsweise grundlegend verändert.

„Kriminelle agieren nicht mehr als Einzeltäter nach dem Zufallsprinzip. Sie arbeiten wie Tech-Startups, bauen wiederverwendbare Infrastrukturen auf und führen systematische Operationen im industriellen Maßstab durch”, erklärt Paul Fabara, Sicherheitschef bei Visa.

Die Parallelen zur Wirtschaft sind frappierend: Skalierbare Infrastrukturen aus Botnetzen und standardisierten Betrugsvorlagen ermöglichen Angriffe mit der Effizienz eines Großunternehmens. Generative KI verstärkt das Problem zusätzlich – gefälschte Identitäten wirken täuschend echt.

Besonders alarmierend: Die Zahl der Ransomware-Angriffe auf das Zahlungs-Ökosystem stieg in der ersten Jahreshälfte 2025 massiv an.

WhatsApp als Einfallstor

Brasilien kämpft derweil mit einer eigenen Bedrohung. Am 19. November identifizierten Forscher von Trustwave SpiderLabs „Eternidade” (Ewigkeit) – einen Trojaner, der sich als Wurm über WhatsApp verbreitet.

Die Masche nutzt das Vertrauen in bekannte Kontakte aus: Nach der Infektion versendet die Malware automatisch schädliche Links an alle WhatsApp-Kontakte des Opfers. Ziel sind Banking-Apps und Krypto-Wallets brasilianischer Nutzer.

Hongkong und Jersey schlagen Alarm

Die Hong Kong Monetary Authority warnte heute vor gefälschten Webseiten, die Kunden der Bank of East Asia und der Shanghai Commercial Bank ins Visier nehmen. Die Aufsichtsbehörde betont: Legitime Banken versenden niemals SMS oder E-Mails mit eingebetteten Links zu Transaktionen oder Passwortabfragen.

Auf der britischen Kanalinsel Jersey erreichten Betrugsmeldungen ein Vierjahreshoch. Geschätzte Schäden: fünf Millionen Pfund. Investment-Scams und gefälschte Bank-Identitäten dominieren die Statistik.

Internationale Offensive gegen Hoster

Als Reaktion auf die eskalierende Bedrohungslage veröffentlichten Cybersicherheitsbehörden der USA, Großbritanniens, Australiens, Kanadas, Neuseelands und der Niederlande diese Woche einen gemeinsamen Appell.

Im Fokus: sogenannte „Bulletproof”-Hosting-Anbieter. Diese Dienstleister ignorieren bewusst Missbrauchsmeldungen und stellen die Command-and-Control-Server bereit, über die Malware wie Sturnus und Eternidade gesteuert werden. Die Allianz fordert Internet-Provider zu härterem Durchgreifen auf.

Die Zwei-Faktor-Falle

Was bedeutet Sturnus für die gängige Sicherheitsphilosophie? Viele Banken setzen auf das Prinzip „Vertrauen, aber verifizieren” – mit Zwei-Faktor-Authentifizierung über das Smartphone.

Doch was passiert, wenn genau dieses Verifikationsgerät kompromittiert ist? Sicherheitsexperten sprechen vom Kollaps traditioneller Schutzperimeter. Wenn Angreifer sowohl Zugangsdaten als auch das Authentifizierungsgerät kontrollieren, läuft jede zusätzliche Sicherheitsebene leer.

Ausblick: KI-gestützte Angriffswellen

Für das Jahresende erwarten Experten eine weitere Eskalation: KI-gesteuerte Social-Engineering-Angriffe dürften zunehmen. Der Visa-Bericht deutet an, dass Kriminelle zunehmend auf KI-Agenten setzen werden, die eigenständig komplexe Banking-Systeme navigieren – inklusive Spracherkennung und biometrischer Checks.

Die Empfehlung für Verbraucher ist eindeutig: Jede dringende Handlungsaufforderung per WhatsApp, SMS oder E-Mail mit äußerster Skepsis behandeln. Besonders wenn Links angeklickt oder Apps heruntergeladen werden sollen.

Die Devise „Erst prüfen, dann vertrauen” war noch nie so wichtig wie jetzt. In Zeiten industrialisierter Cyberkriminalität kann ein Moment der Unachtsamkeit reichen – und das Smartphone wird zur Waffe gegen das eigene Bankkonto.

PS: Wenn das Smartphone selbst zum Verifikationsgerät wird, reicht ein einziger Klick – und Betrüger haben Zugriff auf Ihre Konten. Der Gratis‑Ratgeber erklärt praxisnah die 5 wichtigsten Schutzmaßnahmen für Android, mit Checkliste zu WhatsApp‑Sicherheit, App‑Berechtigungen und Update‑Routine, die Sie sofort anwenden können. Ideal für alle, die ihr Smartphone schnell und effektiv absichern wollen. Gratis-Ratgeber: 5 Schutzmaßnahmen für Android anfordern