Android-Trojaner Sturnus knackt verschlüsselte Messenger

Ein neuer Android-Trojaner liest Nachrichten direkt vom Bildschirm aus. Die Schadsoftware namens Sturnus umgeht so die Ende-zu-Ende-Verschlüsselung von Diensten wie WhatsApp, Signal und Telegram. Sicherheitsforscher warnen vor dieser perfiden Methode, die persönlichste Kommunikation angreift.

Sturnus nutzt eine simple, aber effektive Schwachstelle: Er missbraucht die Android-Bedienungshilfen (Accessibility Services). Statt die verschlüsselten Daten abzufangen, wartet die Malware, bis die Nachricht auf dem Display entschlüsselt angezeigt wird. Dann liest sie den Bildschirminhalt aus – als würde ein unsichtbarer Beobachter über die Schulter schauen.

• Die Methode: Der Trojaner protokolliert Texteingaben, macht Screenshots und extrahiert komplette Chat-Verläufe.
• Das Ziel: Die gestohlenen Daten werden an Server der Angreifer geschickt. Besonders im Visier stehen offenbar Zwei-Faktor-Authentifizierungs-Codes (2FA) für Bankkonten.

„Diese Technik macht die starke Verschlüsselung der Messenger praktisch wirkungslos“, erklären Experten. Die Malware greift an der Stelle an, an der die Nachricht für den Nutzer lesbar wird.

Ihre Chats könnten ungewollt mitgelesen werden — vor allem durch manipulierte Android-Apps, die nach weitreichendem Bildschirmzugriff fragen. Wenn Sie WhatsApp, Signal oder Telegram nutzen, ist es wichtig zu wissen, wie Sie Ihre Einstellungen richtig schützen – oder sicher zu einem datensparsameren Messenger wechseln. Der kostenlose PDF-Report „Telegram Startpaket“ zeigt Schritt für Schritt, wie Sie Telegram sicher einrichten, geheime Chats nutzen und Ihre Nummer verbergen. Telegram-Startpaket jetzt kostenlos anfordern

Gefälschte Updates als Einfallstor

Die Verbreitung läuft über klassische Fallen. Nutzer werden auf manipulierten Webseiten dazu gebracht, gefälschte App-Updates zu installieren.

• Ein häufiger Köder sind angebliche kritische Updates für den Chrome-Browser.
• Auch eine Tarn-App namens „Preemix Box“ wurde als Träger identifiziert.

Nach der Installation fordert die Schadsoftware aggressiv die Berechtigung für die Bedienungshilfen. Wird diese erteilt, ist das Gerät kompromittiert. Sturnus kann dann selbstständig Klicks ausführen und sogar Versuche blockieren, ihn wieder zu deinstallieren.

Warum herkömmlicher Schutz oft versagt

Das Problem ist systemisch. Die Bedienungshilfen sind eine legitime und wichtige Android-Funktion, etwa für Menschen mit Sehbehinderung. Für Angreifer sind sie jedoch ein mächtiges Werkzeug zur Fernsteuerung.

Google versucht mit Play Protect, bekannte Versionen der Malware zu blockieren. Doch die Entwickler hinter Sturnus passen ihren Code ständig an. Die Malware befinde sich zwar noch in einer „Evaluierungsphase“, so Forscher, doch die hohe Qualität deute auf größere Kampagnen im neuen Jahr hin.

Was Nutzer jetzt tun können

Die wichtigste Verteidigung ist Vorsicht beim Installieren von Apps.

• Quellen prüfen: Apps sollten nur aus dem offiziellen Google Play Store geladen werden.
• Berechtigungen hinterfragen: Skepsis ist angebracht, wenn eine App – besonders aus unbekannter Quelle – weitreichende Bildschirmzugriffsrechte verlangt.
• Gerät prüfen: Wer in letzter Zeit Apps außerhalb des Play Stores installiert hat und ungewöhnliches Verhalten wie schnellen Akkuverbrauch bemerkt, sollte sein Gerät zurücksetzen.

Der Fall Sturnus zeigt: Die größte Schwachstelle in der Sicherheitskette bleibt oft der Mensch vor dem Bildschirm. Zum Jahreswechsel eine ernüchternde Erkenntnis.