Sturnus: Android-Malware knackt WhatsApp und Signal

Eine gefährliche neue Generation von Android-Schadsoftware hebelt die eigentlich unknackbare Verschlüsselung beliebter Messenger aus – nicht durch Brechen der Verschlüsselung selbst, sondern durch einen trickreichen Umweg direkt am Bildschirm der Opfer.

Die niederländische IT-Sicherheitsfirma ThreatFabric warnt seit dieser Woche vor „Sturnus”, einem Banking-Trojaner mit alarmierenden Zusatzfunktionen. Was die Schadsoftware so brisant macht: Sie kann private Nachrichten in WhatsApp, Signal und Telegram mitlesen – und das trotz Ende-zu-Ende-Verschlüsselung. Doch wie ist das möglich?

Die Antwort liegt in der Natur der Verschlüsselung selbst. Während Nachrichten während der Übertragung durch unknackbare Verschlüsselungsprotokolle geschützt sind, müssen sie auf dem Empfängergerät natürlich im Klartext angezeigt werden – sonst könnte niemand sie lesen. Genau hier setzt Sturnus an.

Passend zum Thema: Viele Android‑Nutzer übersehen grundlegende Schutzmaßnahmen gegen genau solche Angriffe wie Sturnus – von missbräuchlichen Bedienungshilfen bis zu täuschenden Overlay‑Fenstern. Ein kostenloser Ratgeber erklärt die fünf wichtigsten Sicherheitsmaßnahmen für Ihr Android‑Smartphone, mit klaren Schritt‑für‑Schritt‑Anleitungen zu Berechtigungen, sicheren App‑Quellen und Härtung von Banking‑Apps. Schützen Sie Ihre Chats, Konten und PINs jetzt. Gratis‑Sicherheitspaket für Android sichern

Die Malware missbraucht die sogenannten „Bedienungshilfen” von Android – eigentlich eine Funktion für Menschen mit Behinderungen. Einmal mit dieser Berechtigung ausgestattet, kann Sturnus alles lesen, was auf dem Bildschirm erscheint: Absendernamen, Nachrichteninhalte, Zeitstempel. Die Verschlüsselung? Längst vom legitimen Messenger aufgehoben.

„Dies ermöglicht die vollständige Umgehung der Ende-zu-Ende-Verschlüsselung, indem auf Nachrichten zugegriffen wird, nachdem sie von der legitimen App entschlüsselt wurden”, erklären die ThreatFabric-Forscher in ihrem am Donnerstag veröffentlichten Bericht.

Fernsteuerung inklusive

Doch beim stillen Mitlesen bleibt es nicht. Sturnus etabliert eine Verbindung zu einem Command-and-Control-Server der Angreifer und ermöglicht dadurch die vollständige Fernsteuerung des infizierten Geräts. Per Virtual Network Computing (VNC) können Kriminelle scrollen, tippen und navigieren, als würden sie das Smartphone in der Hand halten.

Zusätzlich zeichnet die Schadsoftware jeden Tastendruck auf – ideal, um Passwörter und PINs zu ernten. Eine beeindruckende und zugleich beängstigende Demonstration, wie mächtig scheinbar harmlose Systemberechtigungen sein können.

Bankkunden in Südeuropa im Visier

Trotz der Spionagefähigkeiten ist Sturnus primär ein Banking-Trojaner. Die Malware zielt aktuell auf Kunden von Finanzinstituten in Süd- und Mitteleuropa ab. Dabei kommt die bewährte „Overlay-Attacke” zum Einsatz: Sobald das Opfer seine Banking-App öffnet, legt Sturnus ein täuschend echtes Fake-Login-Fenster darüber.

Die gefälschten Anmeldemasken sind detailgetreue Kopien der echten Banking-Oberflächen. Wer hier seine Zugangsdaten eingibt, liefert sie direkt an die Angreifer. Besonders perfide: Nach erfolgreicher Datenerbeutung verschwindet das Overlay automatisch, und die echte App erscheint – das Opfer merkt zunächst nichts.

Sturnus wehrt sich gegen Entfernung

Der Name „Sturnus” (lateinisch für Star, den Vogel) wurde von den Forschern gewählt, weil die Malware verschiedene Kommunikationsprotokolle durcheinander nutzt – Klartext, AES- und RSA-Verschlüsselung. Dieses „Gezwitscher” erschwert es Sicherheitssystemen, den Datenverkehr zu analysieren.

Versucht ein Nutzer, die App zu deinstallieren, setzt sich Sturnus zur Wehr. Die Malware strebt den Status als „Geräteadministrator” an. Bei Deinstallationsversuchen kann sie einen schwarzen Bildschirm einblenden, um die Aktion zu blockieren, oder automatisch aus den Einstellungen wegnavigieren – eine effektive Sperre gegen Entfernung.

Die Schwachstelle Smartphone

Die Entdeckung von Sturnus unterstreicht eine grundlegende Schwäche im mobilen Sicherheitsökosystem: die „Barrierefreiheitslücke”. Während Betriebssysteme und App-Entwickler die Netzwerksicherheit und Verschlüsselungsstandards immer weiter verstärken, bleibt das Endgerät der verwundbare Punkt.

„Das Problem ist nicht die Verschlüsselung während der Übertragung, sondern die Sicherheit des Geräts, auf dem die Nachricht gelesen wird”, kommentierte ein Sicherheitsanalytiker am Freitag. „Malware wie Sturnus beweist: Wenn ein Angreifer Zugriff auf die Bedienungshilfen hat, wird aus ‚Ende-zu-Ende’-Verschlüsselung faktisch ‚Absender-zu-Bildschirm’-Verschlüsselung – und der Bildschirm ist kompromittiert.”

Noch in der Testphase – aber voll funktionsfähig

Sturnus reiht sich ein in eine Serie zunehmend aggressiver Android-Schädlinge, die Ende 2025 auftauchten. Die Familien „Herodotus” und „Crocodilus” verfolgen ähnliche Ziele. Die Fokussierung von Sturnus auf Hochsicherheits-Apps wie Signal deutet jedoch auf einen Wandel hin zu wertvolleren Zielen, bei denen vertrauliche Informationen ausgetauscht werden.

ThreatFabrics Analyse zeigt, dass Sturnus sich aktuell in einer „Testphase” befindet – erkennbar an begrenzter Verbreitung und sporadischer Server-Aktivität. Trotzdem ist die Malware bereits vollständig funktionsfähig und hochgefährlich.

Sicherheitsexperten rechnen damit, dass die Sturnus-Betreiber ihre Ziele in den kommenden Monaten über Europa hinaus ausweiten werden. Beim Übergang von der Test- zur Vollausbringung dürften ausgefeiltere Verbreitungsmethoden folgen – möglicherweise über „Dropper”-Apps in alternativen App-Stores oder bösartige Werbekampagnen.

Derzeit tarnt sich Sturnus hauptsächlich als Google Chrome oder als generische App namens „Preemix Box”. Android-Nutzern wird dringend geraten, keine Apps außerhalb des offiziellen Google Play Store zu installieren und äußerste Vorsicht walten zu lassen, wenn eine Anwendung Zugriff auf die Bedienungshilfen verlangt – egal wie legitim sie aussieht.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine oft übersehene Lücke bei Bedienungshilfen. Der Gratis‑Download enthält praktische Checklisten und leicht umsetzbare Anleitungen, mit denen Sie WhatsApp, Signal, Telegram und Mobile‑Banking besser absichern können. Jetzt kostenloses Android‑Sicherheitspaket anfordern