Sturnus: Android-Trojaner knackt WhatsApp und Signal

Eine neue Android-Malware revolutioniert mobile Cyberkriminalität. Der Trojaner “Sturnus” räumt nicht nur Bankkonten leer – er liest auch verschlüsselte Chats von WhatsApp, Telegram und Signal in Echtzeit mit.

Die niederländische Sicherheitsfirma ThreatFabric schlug diese Woche Alarm: Sturnus kombiniert aggressiven Banking-Betrug mit Messenger-Spionage. Anders als bisherige Schädlinge hebelt die Malware die vermeintliche Sicherheit von Ende-zu-Ende-Verschlüsselung aus. Betroffen sind aktuell vor allem Nutzer in Süd- und Zentraleuropa.

Der Trick: Angriff am schwächsten Punkt

Sturnus knackt keine Verschlüsselung – das wäre mathematisch nahezu unmöglich. Stattdessen wartet der Trojaner, bis Nachrichten auf dem Display erscheinen. In diesem Moment sind sie bereits entschlüsselt und lesbar. Die Malware greift sie direkt vom Bildschirm ab.

Möglich macht das der Missbrauch der Android Accessibility Services. Diese Bedienungshilfen sind eigentlich für Menschen mit Behinderungen gedacht. Sturnus nutzt sie als Generalschlüssel für das gesamte System.

Passend zum Thema Android-Sicherheit – viele Nutzer übersehen genau die Berechtigungen, mit denen Malware wie Sturnus Ihr Gerät ausspioniert. Smishing-Links und angebliche Browser-Updates können schnellen Zugriff erlauben, wenn Bedienungshilfen freigegeben werden. Das kostenlose Sicherheits-Paket erklärt die fünf wichtigsten Schutzmaßnahmen für Android Schritt für Schritt, mit Checklisten, Play‑Store‑Tipps und konkreten Anleitungen, wie Sie WhatsApp, Banking‑Apps und Push‑Benachrichtigungen absichern. Jetzt kostenloses Android-Sicherheits-Paket herunterladen

Sobald ein Opfer die Berechtigung erteilt – getarnt als Chrome-Update oder Systemdienst – übernimmt die Malware:

• Kontakte und Chatverläufe werden in Echtzeit ausgelesen
• Eingehende Nachrichten landen bei den Angreifern, bevor das Opfer sie liest
• Banking-Apps werden mit gefälschten Login-Masken überlagert

Fernsteuerung per “Geister-Finger”

Der Name “Sturnus” stammt vom Gemeinen Star – einem Vogel, der fremde Geräusche imitiert. Passend dazu ahmt die Malware legitime Systemfunktionen nach und verschleiert ihre Kommunikation durch verschiedene Verschlüsselungsprotokolle.

Das gefährlichste Feature: Virtual Network Computing (VNC). Kriminelle können infizierte Geräte aus der Ferne steuern, als hielten sie das Smartphone in der Hand.

Die Angreifer nutzen dies für:

• Automatische Überweisungen, während das Gerät unbenutzt wirkt
• Black-Screen-Taktik: Der Bildschirm bleibt dunkel, im Hintergrund laufen Transaktionen
• Umgehung von 2FA: SMS-TANs und Push-Benachrichtigungen werden abgefangen

Versucht ein Nutzer, die Malware in den Einstellungen zu deinstallieren, drückt Sturnus automatisch den Zurück-Button. Das Opfer wird praktisch aus der Verwaltung des eigenen Geräts ausgesperrt.

Verbreitung: Gefälschte Paket-SMS und Dropper-Apps

Sturnus befindet sich noch in einer frühen Phase, ist aber bereits voll funktionsfähig. Aktuell konzentrieren sich die Angriffe auf Spanien, Italien und Zentraleuropa. Experten rechnen mit schneller Ausweitung.

Die Infektion erfolgt über zwei Wege:

Smishing (SMS-Phishing): Nutzer erhalten angebliche Nachrichten von Paketdiensten oder Banken mit Download-Links.

Dropper-Apps: Harmlos wirkende Apps über Drittanbieter-Stores. In aktuellen Fällen tarnte sich Sturnus als Browser-Update oder Produktivitäts-Tool namens “Preemix Box”.

Das schwächste Glied: Das Betriebssystem

Die Entdeckung entlarvt eine unbequeme Wahrheit: Die stärkste Verschlüsselung nützt nichts, wenn das Gerät kompromittiert ist. Während Diskussionen um digitale Sicherheit sich oft auf Verschlüsselungsalgorithmen fokussieren, demonstriert Sturnus die Verwundbarkeit auf Betriebssystem-Ebene.

“Wenn ein Angreifer Ihre Augen simulieren kann, nützt auch die beste Mathematik nichts”, erklärt ein unabhängiger Sicherheitsanalyst.

Im Vergleich zu Vorgängern wie Anatsa oder Vultur zeigt Sturnus höhere Code-Qualität und aggressivere Strategien. Die gezielte Messenger-Spionage deutet auf neues Interesse an Social Engineering hin: Persönliche Chatverläufe könnten für Erpressung oder extrem glaubwürdige Phishing-Angriffe gegen Kontakte genutzt werden.

Google hat mit neueren Android-Versionen die Nutzung der Accessibility Services eingeschränkt. Doch Kriminelle finden über Social Engineering immer wieder Wege, Nutzer zum Aushebeln dieser Schutzmechanismen zu bewegen.

Was Nutzer jetzt tun müssen

Experten erwarten eine massive Ausweitung der Angriffe zum Weihnachtsgeschäft. Die Kombination aus Shopping-Saison und erhöhtem Paketaufkommen bietet ideale Bedingungen für Smishing-Kampagnen.

Verschärfte Sicherheitsregeln:

• Apps ausschließlich aus dem Google Play Store installieren
• Misstrauen bei Berechtigungen: Wenn eine Browser- oder Taschenlampen-App Zugriff auf Bedienungshilfen verlangt, ist es fast sicher Malware
• Keine Updates per SMS-Link: Systemupdates kommen niemals als App-Download über Webseiten
• Warnsignale beachten: Schneller Akkuverbrauch, unerklärliche Überhitzung, Apps schließen sich von selbst

Bei Verdacht auf Infektion: Sofort Flugmodus aktivieren, vom Internet trennen. Im Zweifelsfall hilft nur ein Factory Reset.

Die kommenden Monate werden zeigen, ob Googles Play Protect schnell genug reagieren kann. Bis dahin bleibt das Bewusstsein der Nutzer die wichtigste Firewall gegen diesen “star-artigen” Eindringling.

PS: Chatten Sie per WhatsApp, Telegram oder Signal? Gerade Messenger sind bei Sturnus-Angriffen Ziel von Spionage – unser Gratis-Ratgeber zeigt präzise Einstellungen, die Ihre Privatsphäre schützen. Mit einfachen Schritt‑für‑Schritt‑Hilfen, Erkennungschecks bei verdächtigem Verhalten und Sofortmaßnahmen (Flugmodus, Internet‑Trennung, Factory Reset) hilft Ihnen der Leitfaden, ein kompromittiertes Gerät schnell zu sichern. Jetzt das Android-Schutzpaket gratis anfordern