Sturnus: Android-Trojaner hebelt Verschlüsselung aus

Eine neue Banking-Malware sorgt in Europa für Alarm. Der Trojaner kann WhatsApp, Signal und Telegram mitlesen – trotz Ende-zu-Ende-Verschlüsselung.

Sicherheitsforscher der niederländischen Firma ThreatFabric haben diese Woche die gefährlichste Android-Schadsoftware seit langem dokumentiert. „Sturnus” kombiniert klassischen Bankbetrug mit umfassender Geräteübernahme und knackt dabei die Privatsphäre verschlüsselter Messenger. Das Perfide: Die Malware umgeht die Verschlüsselung, ohne sie zu brechen.

Wie der digitale Star sein Ziel erreicht

Der Name „Sturnus” – lateinisch für Europäischer Star – ist treffend gewählt. Wie der Vogel mit seinen chaotischen Rufen wechselt die Schadsoftware unvorhersehbar zwischen einfachen und komplexen Kommunikationsmustern. Mal funkt sie im Klartext zu ihren Kommandoservern, mal nutzt sie AES- und RSA-Verschlüsselung. Das erschwert die Erkennung erheblich.

Passend zum Thema Smartphone-Sicherheit: Viele Android-Nutzer wissen nicht, wie Angreifer über Barrierefreiheits-Rechte oder gefälschte Apps Zugriff auf WhatsApp, Messenger und Banking-Apps bekommen. Das kostenlose Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Ihr Android – von Play‑Store‑Nutzung über Berechtigungsprüfung bis zu automatischen Updates und Antivirus-Checks. Praktische Schritt‑für‑Schritt‑Anleitungen helfen, Spyware wie Sturnus vorzubeugen. Jetzt kostenloses Sicherheitspaket für Android herunterladen

Doch was macht Sturnus so gefährlich? Die Antwort liegt in Androids Barrierefreiheitsfunktionen. Diese eigentlich hilfreichen Tools für Menschen mit Behinderungen werden zum Einfallstor. Einmal aktiviert, kann die Malware den Bildschirm „mitlesen” und Eingaben tätigen – alles scheinbar legitim.

Die Forscher warnen: „Sturnus implementiert mehrere Angriffsvektoren, die Angreifern nahezu vollständige Kontrolle über infizierte Geräte verschaffen.”

Verschlüsselung? Macht nichts

Hier wird es besonders brisant. WhatsApp, Signal und Telegram gelten als sicher – ihre Ende-zu-Ende-Verschlüsselung schützt Nachrichten während der Übertragung zuverlässig. Sturnus interessiert das nicht. Die Malware wartet einfach, bis der Nutzer seinen Messenger öffnet.

In diesem Moment greift der Trojaner zu: Er protokolliert die gesamte Benutzeroberfläche, inklusive aller angezeigten Nachrichten. Da die App die verschlüsselten Inhalte zur Anzeige bereits entschlüsselt hat, liest Sturnus alles im Klartext mit. Kontaktliste, Chatverläufe, ein- und ausgehende Nachrichten – nichts bleibt verborgen.

Die technische Raffinesse liegt im Detail. Sturnus erfasst den kompletten UI-Baum des Betriebssystems in Echtzeit. Für Angreifer ist es, als würden sie dem Opfer über die Schulter schauen.

Europäische Banken im Visier

Banking-Betrug bleibt Sturnus’ Kerngeschäft. Die klassische Overlay-Attacke funktioniert erschreckend simpel: Sobald das Opfer seine Banking-App öffnet, legt die Malware ein täuschend echtes Anmeldefenster darüber. Die eingegebenen Zugangsdaten landen direkt bei den Kriminellen.

Aktuell konzentrieren sich die Angriffe auf Süd- und Mitteleuropa. Die gefälschten Login-Masken sind perfekt an regionale Banken angepasst – deutsche Sparkassen-Kunden könnten ebenso betroffen sein wie italienische UniCredit-Nutzer.

Fernsteuerung mit schwarzem Bildschirm

Die Remote-Access-Funktionen von Sturnus klingen wie Science-Fiction. Über VNC-Verbindungen können Angreifer:

• Den Bildschirm live mitverfolgen
• Klicks und Gesten ferngesteuert ausführen
• Das Display komplett schwarz schalten

Letzteres ist besonders heimtückisch. Während das Opfer auf einen schwarzen Bildschirm starrt, autorisiert die Malware im Hintergrund Überweisungen oder installiert weitere Schadsoftware. Der Nutzer bekommt nichts mit.

Die Schwachstelle heißt Mensch

Ein Muster zieht sich durch alle Sturnus-Infektionen: Die Opfer laden die Schadsoftware selbst herunter. Getarnt als Chrome-Update oder harmlose Utility-App wie „Preemix Box” lauern die Dropper auf dubiosen Websites.

Der Google Play Store bietet hier deutlichen Schutz. Google Play Protect scannt Apps automatisch auf verdächtiges Verhalten – Sturnus hätte keine Chance. Wer seine Apps ausschließlich aus offiziellen Quellen bezieht, senkt sein Risiko dramatisch.

Die Barrierefreiheitsdienste zu aktivieren, erfordert mehrere bewusste Schritte. Sturnus nutzt Social Engineering: Gefälschte Fehlermeldungen und dringende Warnungen sollen Nutzer überzeugen, diese kritischen Rechte zu erteilen.

Ruhe vor dem Sturm?

ThreatFabric stuft Sturnus trotz seiner Gefährlichkeit als „in Entwicklung” ein. Die relativ geringe Zahl an Infektionen und der chaotische Code-Aufbau deuten darauf hin: Die Cyberkriminellen testen noch.

Das geografisch fokussierte Targeting und die technische Sophistikation sprechen jedoch eine klare Sprache. Experten rechnen mit einer großangelegten Kampagne in den kommenden Monaten. Der aktuelle Zustand könnte die sprichwörtliche Ruhe vor dem Sturm sein.

Einmal installiert, ist Sturnus kaum zu entfernen. Die Malware missbraucht Admin-Rechte, um ihre eigene Deinstallation zu blockieren. Oft hilft nur ein Werksreset oder spezialisierte Antiviren-Software.

Die Empfehlung bleibt eindeutig: Apps ausschließlich über den Play Store installieren. Anfragen nach Barrierefreiheits-Berechtigungen kritisch prüfen. Und bei ungewöhnlichem Geräteverhalten sofort handeln. Denn wenn Sturnus erst einmal zugeschlagen hat, ist die digitale Privatsphäre Geschichte.

PS: Wenn Sie befürchten, dass Apps Ihre Chats oder Bankdaten ausspähen, hilft ein kompakter Leitfaden mit konkreten Checklisten. Das Gratis-Sicherheitspaket zeigt, wie Sie Barrierefreiheits-Einstellungen prüfen, gefälschte Updates erkennen und sichere App‑Quellen nutzen – inklusive einer kurzen Notfall-Anleitung für befallene Geräte. So schützen Sie WhatsApp, Telegram und Ihre Banking-Apps effektiv. Gratis-Sicherheitsratgeber jetzt anfordern