Android-Malware Sturnus umgeht WhatsApp-Verschlüsselung

Ein neuer Banking-Trojaner liest verschlüsselte Messenger-Chats aus, noch bevor sie versendet werden. Google reagiert mit radikalen Maßnahmen gegen Sideloading-Apps – doch Experten sehen ein KI-Wettrüsten kommen.

Die Android-Welt erlebt eine der aggressivsten Bedrohungswellen der letzten Jahre. Sicherheitsforscher haben diese Woche Details zu Sturnus veröffentlicht – einem Banking-Trojaner, der gezielt WhatsApp, Signal und Telegram ins Visier nimmt. Parallel dazu macht ein Malware-Baukasten namens “Fantasy Hub” Cyberkriminalität für 200 Dollar pro Woche käuflich.

Der lautlose Beobachter in verschlüsselten Chats

ThreatFabric und MTI Security bestätigten die Entdeckung von Sturnus, einer Malware in aggressiver Testphase in Südeuropa. Anders als klassische Banking-Trojaner umgeht Sturnus die Ende-zu-Ende-Verschlüsselung durch einen raffinierten Trick: Die Software liest den Bildschirminhalt aus, bevor Nachrichten verschlüsselt werden.

Viele Android-Nutzer unterschätzen, wie leicht Trojaner wie Sturnus Zugriff auf Messenger, Authentifizierungs-Codes und Kamera-Feeds bekommen. Das kostenlose Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Ihr Android – inklusive Play Protect, sicheres App‑Management, Sideloading‑Prüfungen und Verhaltenstipps bei verdächtigen Updates. Die Anleitungen sind Schritt‑für‑Schritt und leicht nachvollziehbar, damit Sie WhatsApp, Signal und Banking‑Apps zuverlässig schützen. Ideal für alle Android‑Nutzer, die Chats und Konten effektiv sichern wollen. Jetzt kostenlosen Android-Schutz-Guide anfordern

Sobald das Opfer WhatsApp oder Signal öffnet, aktiviert Sturnus eine automatisierte Erfassung des Bildschirminhalts. Angreifer können Nachrichten und Authentifizierungscodes im Klartext mitlesen. Eine hybride Verschlüsselung aus RSA und AES tarnt die Kommunikation mit den Kontrollservern.

“Sturnus repräsentiert eine neue Evolutionsstufe”, warnen Analysten. Die Malware gewährt praktisch vollständige Fernkontrolle über infizierte Geräte – inklusive Installation weiterer Schadsoftware ohne Wissen des Nutzers.

Malware-Discounter auf Telegram

Fantasy Hub demokratisiert Cyberkriminalität auf beunruhigende Weise. Laut Zimperium vertreibt ein russischsprachiger Telegram-Kanal diesen Remote Access Trojan als “Malware-as-a-Service”. Für 200 Dollar wöchentlich erhalten Kriminelle einen Baukasten, der harmlose Apps in Spionagewerkzeuge verwandelt.

Die Funktionen sind erschreckend umfangend:

• Abfangen von 2-Faktor-Authentifizierungs-SMS
• Live-Streaming von Kamera und Bildschirm via WebRTC
• Erstellung täuschend echter Fake-Seiten für Banken

Zimperium-Forscher Vishnu Pratapagiri betont die massive Gefahr für Unternehmen mit “Bring Your Own Device”-Modellen. Fantasy Hub missbraucht gezielt Androids SMS-Handler, um Sicherheitswarnungen der Banken unbemerkt zu löschen.

Google leitet Kehrtwende beim Sideloading ein

Die Reaktion folgt prompter als erwartet. Nach einem gemeldeten Anstieg von Android-Spyware um 147 Prozent in diesem Jahr holt Google zum Gegenschlag aus. Die Live Threat Detection für Pixel-Geräte weitet der Konzern nun aggressiv auf Dritthersteller aus.

Diese KI-gestützte Funktion analysiert das App-Verhalten in Echtzeit direkt auf dem Gerät. Anomalien wie unbefugtes Abgreifen von Sensordaten werden erkannt, bevor Schaden entsteht.

Noch drastischer: Ab dem kommenden Jahr verlangt Android bei zertifizierten Geräten, dass alle Apps – auch per Sideloading geladene – von verifizierten Entwicklern signiert sein müssen. “Denken Sie an eine Ausweiskontrolle am Flughafen”, erklärt ein Google-Sprecher die Maßnahme.

Vom Bankraub zum Identitätsdiebstahl

Die aktuellen Entwicklungen markieren eine qualitative Verschiebung. Während ToxicPanda Ende 2024 noch primär auf Banküberweisungen abzielte, greifen Sturnus und Fantasy Hub die Identität des Nutzers an.

Biometrische Daten, Echtzeit-Kamerabilder, Messenger-Inhalte – das Smartphone wird zur totalen Überwachungsanlage. Dass diese Tools nun als Abo-Modell auf Telegram verfügbar sind, erklärt die explosionsartige Zunahme der Infektionen.

Das KI-Wettrüsten beginnt

Für Android-Nutzer endet die Ära des sorglosen Installierens von APK-Dateien. Experten erwarten, dass Googles Verifizierungsmaßnahmen das Sideloading in den kommenden Monaten massiv erschweren werden.

Doch die Angreifer rüsten bereits nach. Sicherheitsanalysten prognostizieren den Einsatz generativer KI, um Verifizierungsprozesse zu täuschen und “Deepfake”-Anrufe glaubwürdiger zu gestalten. Der Kampf zwischen Googles lokaler KI-Erkennung und den KI-Tools der Hacker dürfte 2026 dominieren.

So schützen Sie sich

Play Store first: Installieren Sie Apps ausschließlich über den Google Play Store oder verifizierte Hersteller-Stores wie den Samsung Galaxy Store.

Play Protect aktivieren: Prüfen Sie, ob Google Play Protect aktiv ist und schalten Sie die Live Threat Detection ein, falls verfügbar.

Skepsis bei Updates: Fordern Apps plötzlich Updates außerhalb des Stores an, ist das ein klassischer Infektionsweg für Trojaner wie Fantasy Hub.

Selbstlöschende Nachrichten: Nutzen Sie für sensible Kommunikation selbstlöschende Nachrichten, um den Schaden bei Bildschirmüberwachung zu minimieren.

PS: Gerade weil Sideloading und Abo‑basierte Malware wie Fantasy Hub zunehmend verbreitet sind, hilft der Gratis‑Ratgeber mit klaren Checklisten: So prüfen Sie App‑Signaturen, aktivieren Live Threat Detection, erkennen manipulierte Updates und überprüfen Berechtigungen systematisch. Die Tipps sind praxisnah und auch für weniger Technikaffine sofort umsetzbar – damit Sie Ihre Chats, Konten und persönliche Daten in wenigen Minuten sicherer machen. Gratis-Ratgeber mit 5 Schutzmaßnahmen herunterladen