Sturnus: Android-Malware späht verschlüsselte Nachrichten aus

Sicher verschlüsselt, aber trotzdem lesbar – eine neue Generation von Android-Schadsoftware umgeht die Ende-zu-Ende-Verschlüsselung von WhatsApp, Signal und Telegram auf beunruhigende Weise. Statt die kryptographischen Protokolle anzugreifen, liest die Malware einfach mit, sobald die Nachricht auf dem Bildschirm erscheint.

Das niederländische Cybersicherheitsunternehmen ThreatFabric identifizierte den Schädling am 20. November 2025 und taufte ihn “Sturnus”. Die Bezeichnung ist Programm: Wie die Stare, deren wissenschaftliche Gattungsbezeichnung der Trojaner trägt, nutzt auch die Malware komplexe Kommunikationsmuster – allerdings zu deutlich finstereren Zwecken.

Der entscheidende Trick: Sturnus missbraucht Androids Bedienungshilfen, die eigentlich Menschen mit Behinderungen die Smartphone-Nutzung erleichtern sollen. Diese “Accessibility Services” ermöglichen es Apps, Bildschirminhalte auszulesen und Bedienelemente zu steuern.

“Die Malware erfasst alles, was auf dem Display erscheint… in Echtzeit”, erklären die ThreatFabric-Forscher in ihrem Bericht vom Donnerstag. Das Perfide daran? Die Verschlüsselung bleibt völlig intakt. WhatsApp, Signal und Co. entschlüsseln die Nachrichten ordnungsgemäß – nur wartet dann bereits der digitale Spion im Hintergrund.

Passend zum Thema Mobil-Malware: Viele Android-Nutzer übersehen diese 5 zentralen Sicherheitsmaßnahmen – genau solche Lücken machen erstklassige Banking-Trojaner wie Sturnus so gefährlich. Das kostenlose Sicherheitspaket erklärt praxisnah die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Gerät, mit Schritt-für-Schritt-Anleitungen, Checklisten für geprüfte Apps und Tipps, wie Sie Bedienungshilfen und Berechtigungen korrekt prüfen. Ideal für alle, die WhatsApp, Online-Banking und PayPal ohne teure Zusatz-Apps sicher nutzen wollen. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Verbreitet wird Sturnus über manipulierte APK-Dateien, die als legitime Anwendungen getarnt sind. ThreatFabric entdeckte Exemplare, die sich als “Google Chrome” ausgaben oder unter dem Namen einer nicht existierenden App namens “Preemix Box” firmierten. Nach der Installation fordert die Schadsoftware Zugriff auf die Bedienungshilfen – und erhält damit praktisch Vollzugriff auf das Gerät.

Banking-Trojaner mit Fernsteuerung

Doch das Ausspähen von Nachrichten ist nur die Spitze des Eisbergs. Sturnus entpuppt sich als vollwertiger Banking-Trojaner mit erschreckendem Funktionsumfang. Die Malware kann direkt vom infizierten Gerät aus Überweisungen durchführen – eine Technik namens “On-Device Fraud”, die Sicherheitsprüfungen der Banken umgeht, die verdächtige Standorte oder Geräte normalerweise blockieren würden.

Besonders bedrohlich: Ein integriertes VNC-Modul (Virtual Network Computing) erlaubt Angreifern die Fernsteuerung des Smartphones. Sie können Knöpfe drücken, durch Apps scrollen und Text eingeben. Während dieser Aktivitäten zeigt Sturnus dem Opfer einen schwarzen Vollbild-Overlay – das Telefon erscheint gesperrt, während im Hintergrund Betrüger das Konto leerräumen.

“Eine ausgeklügelte und umfassende Bedrohung”, urteilt ThreatFabric. Der Trojaner kombiniert mehrere Angriffsvektoren: Neben dem Screen Scraping setzt er auf “Overlay-Attacken” – gefälschte Login-Masken, die sich über echte Banking-Apps legen. Öffnet ein Nutzer seine Bank-App, registriert Sturnus den Start und deckt sie sofort mit einem täuschend echten Fake-Fenster ab, das Benutzername und Passwort abgreift.

Europa im Visier

Zwar befindet sich Sturnus offenbar noch in einer frühen Entwicklungs- oder Testphase, wird aber bereits aktiv eingesetzt. Die aktuelle Kampagne zielt konkret auf Finanzinstitute in Süd- und Mitteleuropa ab – im Code der Malware fanden Forscher regionsspezifische Vorlagen.

“Obwohl die Verbreitung derzeit begrenzt ist, deutet die Kombination aus geografischer Zielrichtung und Fokus auf hochwertige Anwendungen darauf hin, dass die Angreifer ihre Tools vor umfassenderen oder koordinierteren Operationen verfeinern”, analysiert ThreatFabric.

Wie ausgeklügelt Sturnus arbeitet, zeigt sich in der Kommunikation mit den Kontrollservern: Die Malware nutzt verschiedene Verschlüsselungsmethoden und wechselt zwischen ihnen – eine Taktik zur Umgehung von Netzwerküberwachung, die dem vielfältigen Gesang der namensgebenden Stare nachempfunden ist.

Parallele Bedrohung aus Brasilien

Fast zeitgleich mit Sturnus identifizierten Forscher von Trustwave SpiderLabs am 19. November 2025 eine weitere WhatsApp-Bedrohung: “Eternidade Stealer” wütet derzeit in Brasilien und verfolgt eine andere Strategie.

Statt Nachrichten auszuspähen, funktioniert Eternidade als Wurm, der WhatsApp zur Selbstverbreitung nutzt. Nach der Infektion stiehlt die Malware die Kontaktliste und verschickt automatisch über ein Python-Skript schädliche Nachrichten an Freunde und Familie – die Social-Engineering-Falle schnappt zu.

Eternidade wurde in Delphi programmiert, einer Programmiersprache, die bei lateinamerikanischen Cyberkriminellen beliebt ist. Als Köder dienen gefälschte Benachrichtigungen über Sozialleistungen. Noch konzentriert sich die Bedrohung auf Brasilien, doch der modulare Aufbau lässt befürchten, dass Anpassungen für andere Regionen folgen könnten.

Paradigmenwechsel in der mobilen Sicherheit

Das Auftauchen von Sturnus markiert einen kritischen Wandel: Die Verteidigungslinie hat sich vom Netzwerk auf das Endgerät selbst verschoben. Jahrelang galt Ende-zu-Ende-Verschlüsselung als Goldstandard für Privatsphäre – sie garantiert, dass weder Dienstanbieter noch Netzwerk-Lauscher Nachrichten mitlesen können.

Doch was nützt die beste Verschlüsselung, wenn der Angreifer direkt auf dem Smartphone sitzt? Sturnus macht diese Schutzgarantie praktisch bedeutungslos, indem die Malware den Endpunkt kompromittiert – das Telefon, auf dem die Nachricht gelesen wird.

Der Missbrauch von Bedienungshilfen etabliert sich zusehends als Standard-Technik erstklassiger Android-Banking-Trojaner. Google versucht gegenzusteuern, indem der Konzern einschränkt, wie Apps außerhalb des Play Store auf diese Dienste zugreifen können. Doch Angreifer finden weiterhin Schlupflöcher – meist durch Social Engineering, bei dem Nutzer die Berechtigungen manuell aktivieren.

Was kommt als Nächstes?

Sicherheitsexperten warnen: Sturnus bereitet sich wahrscheinlich auf einen größeren Schlag vor. Die von ThreatFabric identifizierte “Testphase” geht häufig einer massiven Verteilungskampagne voraus – möglicherweise über Phishing-SMS (Smishing) oder bösartige Werbeanzeigen.

In den kommenden Monaten dürften die Sturnus-Betreiber ihre Zielliste über Süd- und Mitteleuropa hinaus ausweiten. Auch Deutschland könnte ins Visier geraten – schließlich bietet der hiesige Bankenmarkt lukrative Ziele. Mit zunehmender Reife werden die Entwickler vermutlich auch die Verschleierungstechniken verfeinern, um mobile Antiviren-Lösungen besser zu täuschen.

Android-Nutzern wird dringend geraten, Apps ausschließlich aus offiziellen Quellen zu installieren und bei Anfragen für Bedienungshilfen höchste Vorsicht walten zu lassen. Verlangt ein Browser oder ein Utility-Tool die Berechtigung, “Bildschirminhalte anzuzeigen und zu steuern”, sollten sämtliche Alarmglocken schrillen.

Die gleichzeitige Verbreitung von Sturnus in Europa und Eternidade in Südamerika illustriert einen globalen Trend: Populäre Messaging-Plattformen werden systematisch zur Waffe umfunktioniert. Ob zum Ausspähen oder zur Verbreitung – WhatsApps Allgegenwärtigkeit macht den Dienst zum Hauptziel für Bedrohungsakteure, die ihre Reichweite maximieren wollen.

Kann die Branche schnell genug reagieren? Die Antwort wird entscheiden, ob verschlüsselte Kommunikation ihr Sicherheitsversprechen halten kann – oder ob die Verschlüsselung zur bloßen Illusion verkommt, während der wahre Kampf längst auf unseren Bildschirmen tobt.

PS: Wenn Sie verhindern möchten, dass Kriminelle per Overlay-Attacken oder Fernsteuerung auf Ihre Konten zugreifen, lohnt sich ein kompakter Gratis-Leitfaden. Das Sicherheitspaket erklärt praxisnah, welche Berechtigungen kritisch sind, wie Sie Apps zuverlässig prüfen und welche Notfall-Schritte sofort greifbar sind – inklusive Checkliste für den Ernstfall und klaren Handlungsempfehlungen. Gratis-Sicherheitspaket für Ihr Android anfordern