Sturnus-Trojaner, Android-Malware

Sturnus-Trojaner: Neue Android-Malware liest verschlüsselte Nachrichten mit

28.11.2025 - 06:09:12

Sturnus-Trojaner: Neue Android-Malware liest verschlüsselte Nachrichten mit - Foto: über boerse-global.de
Sturnus-Trojaner: Neue Android-Malware liest verschlüsselte Nachrichten mit - Foto: über boerse-global.de

Eine hochentwickelte Banking-Malware für Android umgeht die Ende-zu-Ende-Verschlüsselung von WhatsApp, Telegram und Signal – nicht durch Knacken der Algorithmen, sondern durch direktes Ablesen der entschlüsselten Inhalte vom Bildschirm. Zeitgleich löschte Google über 200 verseuchte Apps mit insgesamt 38 Millionen Downloads aus dem Play Store. Was steckt hinter dieser gefährlichen neuen Bedrohungswelle?

Die am 25. November von den Sicherheitsforschern bei ThreatFabric und MTI Security entdeckte Schadsoftware trägt den Codenamen “Sturnus” – benannt nach dem Gemeinen Star (Sturnus vulgaris), dessen komplexe Lautäußerungen das Malware-Verhalten widerspiegelt. Der Trojaner wechselt gezielt zwischen verschlüsselter und unverschlüsselter Kommunikation, um Sicherheitssysteme zu verwirren.

Das Perfide: Sturnus greift nicht die kryptografischen Verfahren der Messenger-Apps an. Stattdessen missbraucht die Malware Androids Bedienungshilfen – eine Funktion, die eigentlich Menschen mit Behinderungen unterstützen soll. Damit kann sie Bildschirminhalte “mitlesen”, nachdem die Nachrichten für den Nutzer entschlüsselt wurden.

Anzeige

Passend zum Thema Android‑Sicherheit: Wenn Malware Bedienungshilfen missbraucht, reichen Kennwörter und Verschlüsselung allein nicht mehr. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone – von der richtigen Berechtigungs‑Prüfung über Play‑Protect‑Checks bis zur sicheren Auswahl von VPNs und App‑Quellen. Jede Maßnahme enthält klare Schritt‑für‑Schritt‑Anleitungen, damit Sie Banking‑Apps, Messenger und Zahlungsdienste besser schützen. Jetzt kostenloses Android-Sicherheitspaket anfordern

„Die Verschlüsselung wird praktisch wertlos für alle Daten, die der Nutzer auf seinem Display sieht”, erklären die ThreatFabric-Analysten in ihrem Bericht. Private Gespräche, Zwei-Faktor-Codes und sensible Finanzdaten landen in Echtzeit bei den Angreifern.

Aktuell befindet sich Sturnus noch in einer Test- oder “Pre-Deployment”-Phase. Dennoch ist die Schadsoftware bereits voll funktionsfähig und wurde bei Angriffen auf Finanzinstitute in Süd- und Mitteleuropa nachgewiesen.

Besonders raffiniert: Die “Black Screen”-Funktion dimmt das Display des Opfers, während im Hintergrund betrügerische Transaktionen ablaufen. Der Nutzer bekommt davon nichts mit – bis es zu spät ist.

Sicherheitsexperten erwarten, dass die beobachtete Testphase auf eine großangelegte Kampagne Anfang 2026 hindeutet. Die ausgefeilten Anti-Analyse-Mechanismen lassen auf ein gut ausgestattetes Entwicklerteam schließen.

38 Millionen Downloads: Der “SlopAds”-Skandal

Einen Tag nach der Sturnus-Enthüllung folgte der nächste Schlag: Forscher von Satori Threat Intelligence (Teil von HUMAN Security) deckten am 26. November eine massive Werbebetrugskampagne auf.

224 Schadanwendungen hatten sich in den Google Play Store eingeschlichen – getarnt als Produktivitäts-Tools oder Spiele. Die kollektive Download-Zahl: über 38 Millionen. Zum Vergleich: Das entspricht etwa der Hälfte aller aktiven Smartphones in Deutschland.

Die als “SlopAds” bezeichnete Operation nutzte Steganografie, um schädlichen Code in harmlosen Bilddateien zu verstecken. Nach der Installation entpackten die Apps diesen Code und starteten aggressive Werbebetrugsprogramme im Hintergrund. Unsichtbare Browser-Fenster klickten automatisch auf Werbung und generierten illegale Einnahmen – auf Kosten der Akkuleistung und Datenpakete ahnungsloser Nutzer.

Google bestätigte die Löschung aller identifizierten Apps: “Android-Nutzer sind durch Google Play Protect automatisch gegen bekannte Versionen dieser Malware geschützt. Die Funktion ist standardmäßig aktiviert”, erklärte ein Unternehmenssprecher am Mittwoch.

Gefälschte VPNs zur Shopping-Saison

Als wäre das nicht genug, warnte Google am 26. November zusätzlich vor einer Welle gefälschter VPN-Anwendungen. Die Schad-Apps imitieren seriöse Datenschutz-Tools, stehlen aber tatsächlich persönliche Informationen und installieren Banking-Trojaner.

Dieses “Brandjacking” – das Ausnutzen des Vertrauens in bekannte Sicherheitsmarken – entwickelt sich zum besorgniserregenden Trend. Die falschen VPNs fordern exzessive Berechtigungen wie Zugriff auf Kontakte und SMS-Nachrichten. Diese nutzen die Angreifer für Identitätsdiebstahl oder um die Malware per Phishing-Texten weiterzuverbreiten.

Der Zeitpunkt ist kein Zufall: Die Bedrohungswelle fällt mit dem Start der Shopping-Saison zusammen – einer Periode, die historisch mit erhöhter Cyberkriminalität einhergeht. Die bereits Anfang November dokumentierte “ToxicPanda”-Malware bleibt parallel in Italien und Portugal aktiv. Europäische Mobile-Banking-Nutzer stehen Ende 2025 unter intensivem Angriffsdruck.

Die “menschliche Lücke” im Sicherheitssystem

Sturnus markiert einen strategischen Kurswechsel der Cyberkriminellen: weg von Angriffen auf gehärtete Banking-Server, hin zum On-Device Fraud (ODF). Ziel ist die “menschliche Lücke” – die Schnittstelle zwischen Nutzer und Gerät.

Durch Missbrauch der Bedienungshilfen kann Malware im Namen des Nutzers agieren: “Erlauben”-Buttons antippen, Text aus Authentifizierungs-Apps kopieren oder Bildschirminhalte auslesen. Diese Technik umgeht biometrische Sicherheit und Verschlüsselung, indem sie in der vertrauenswürdigen Umgebung des entsperrten Geräts operiert.

„Der Missbrauch der Bedienungshilfen bleibt die Achillesferse der Android-Sicherheit”, resümieren Branchenanalysten nach der Sturnus-Enthüllung. “Solange Malware Nutzer dazu bringen kann, diese Berechtigungen zu erteilen, schützt selbst die stärkste Verschlüsselung keine Daten, die direkt vom Bildschirm abgelesen werden.”

Was Nutzer jetzt tun sollten

Experten raten während der Black-Friday- und Cyber-Monday-Phase zu erhöhter Wachsamkeit. Die Kombination aus SlopAds-Massenangriff und hochspezialisiertem Sturnus-Trojaner zeigt: Angreifer diversifizieren ihre Methoden – vom breitflächigen Werbebetrug bis zum gezielten Banking-Diebstahl.

Konkrete Schutzmaßnahmen:
* Quellen prüfen: Trotz SlopAds-Vorfall bleibt der Play Store sicherer als Drittanbieter-Stores
* Berechtigungen hinterfragen: Warum benötigt eine Taschenlampen-App “Bedienungshilfen”?
* Play Protect aktivieren: Google Play Protect sollte aktiv und aktualisiert sein, um neueste Varianten zu erkennen
* Vorsicht bei VPNs: Nur Apps etablierter Anbieter installieren – Bewertungen und Download-Zahlen kritisch prüfen

Bleibt abzuwarten, ob Google seine Kontrollen nach diesem Dreifachschlag verschärft. Für europäische Android-Nutzer gilt jedenfalls: Die kommenden Wochen erfordern digitale Vorsicht.

Anzeige

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine häufig unterschätzte Lücke, die Banking‑Trojaner und Werbebetrug ausnutzen. Fordern Sie den Gratis‑Ratgeber an und erhalten Sie verständliche Checklisten, konkrete Schritt‑für‑Schritt‑Anleitungen und Praxistipps zum Schutz von WhatsApp, Online‑Banking und Shopping‑Apps. Ideal für die Black‑Friday‑ und Cyber‑Monday‑Phase, Versand per E‑Mail und direkter Download. Jetzt Android‑Sicherheitskit herunterladen

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler