Sturnus: Android-Trojaner liest WhatsApp mit und räumt Konten leer

Eine neue Android-Malware schockiert Sicherheitsexperten. Der Trojaner “Sturnus” hebelt die Verschlüsselung von WhatsApp und Signal aus – und leert Bankkonten, während das Display schwarz bleibt.

Die niederländische Sicherheitsfirma ThreatFabric schlug diese Woche Alarm: Ein hochkomplexer Banking-Trojaner kombiniert erstmals totale Messenger-Überwachung mit raffiniertem Finanzbetrug. Anders als bisherige Schädlinge knackt Sturnus keine Verschlüsselung – er liest einfach mit, sobald Nachrichten auf dem Display erscheinen.

Der Name “Sturnus” stammt vom wissenschaftlichen Namen des Gemeinen Stars. Forscher wählten diese Bezeichnung wegen der chaotischen Kommunikation der Malware mit ihren Kommandosservern. Wie der Vogel mit seinen unberechenbaren Gesangsmustern wechselt der Trojaner erratisch zwischen verschiedenen Nachrichtenformaten.

Passend zum Thema Android-Malware: Viele Nutzer übersehen einfache Schutzmaßnahmen, mit denen Sideloading-Angriffe und Screen-Reading-Schwachstellen verhindert werden können. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android – mit leicht verständlichen Schritt-für-Schritt-Anleitungen zu Play Protect, Berechtigungs-Checks und sicherer App-Installation. Ideal für alle, die WhatsApp, Signal oder Mobile Banking sicher nutzen wollen. Jetzt das kostenlose Android-Sicherheitspaket herunterladen

Aktuell konzentriert sich Sturnus auf Süd- und Zentraleuropa. Die technische Raffinesse deutet jedoch auf eine baldige globale Expansion hin.

Das gefährlichste Feature von Sturnus: Er nutzt Androids Barrierefreiheitsdienste als Einfallstor. Diese eigentlich für Menschen mit Behinderungen entwickelten Funktionen ermöglichen es der Malware, Bildschirminhalte auszulesen.

So funktioniert der Angriff:

Getarnte Installation: Sturnus präsentiert sich als legitime App wie “Google Chrome” oder “Preemix Box”. Nach der Installation fordert er aggressiv die Aktivierung der Accessibility Services.

Screen Scraping in Echtzeit: Sobald der Nutzer WhatsApp, Signal oder Telegram öffnet, wartet die Malware auf entschlüsselte Nachrichten. Im Moment der Anzeige auf dem Display greift Sturnus den Klartext direkt von der Benutzeroberfläche ab.

Totale Überwachung: Kontakte, Chatverläufe und sensible Informationen wandern in Echtzeit zu den Angreifern. Die Ende-zu-Ende-Verschlüsselung der Messenger bleibt dabei technisch intakt – wird aber praktisch wertlos.

Experten warnen: Diese Taktik eignet sich nicht nur für Finanzbetrug, sondern auch für Stalking, Wirtschaftsspionage oder Erpressung.

Black Screen: Unsichtbarer Bankraub

Während die Überwachungskomponente die Privatsphäre bedroht, zielt die Banking-Funktion auf finanzielle Vernichtung. Sturnus gehört zur Kategorie der On-Device Fraud-Malware. Der Betrug findet direkt auf dem Gerät des Opfers statt – was bankseitige Sicherheitsmaßnahmen aushebelt.

Das perfide Black-Screen-Szenario läuft so ab:

Die Malware erkennt den Aufruf einer Banking-App. Sofort legt sie ein schwarzes Overlay über den gesamten Bildschirm. Für den Nutzer sieht es nach einem Absturz oder ausgeschaltetem Display aus.

Im Hintergrund übernehmen die Angreifer jedoch die Kontrolle. Sie führen Überweisungen durch, ändern Limits oder bestätigen Transaktionen. Der Nutzer sieht nichts – und kann nicht eingreifen.

Zusätzlich setzt Sturnus klassische Phishing-Overlays ein: täuschend echte Login-Masken von Banken über den Original-Apps, um Zugangsdaten abzugreifen.

Fast unmöglich zu entfernen

Sturnus sichert sich Device-Administrator-Rechte. Versucht ein Nutzer die Deinstallation, schlägt die Malware zurück: Sie schließt das Einstellungsmenü automatisch oder drückt virtuell die “Zurück”-Taste, bevor die Bestätigung erfolgen kann.

Für technische Laien bleibt oft nur ein vollständiger Werksreset – mit entsprechendem Datenverlust.

Evolution der Bedrohung

Der Vergleich mit ToxicPanda aus dem November 2024 zeigt die rasante Entwicklung. Während ToxicPanda sich primär auf Überweisungsbetrug konzentrierte und technisch oft ungeschliffen wirkte, präsentiert sich Sturnus als Präzisionswerkzeug.

Die Code-Qualität ist höher, die Verschleierung komplexer. Die Integration von Messenger-Spionage in einen Banking-Trojaner markiert eine neue Qualität der hybriden Bedrohung.

Branchenexperten sprechen von “Monetarisierung aller Daten”.

Es geht nicht mehr nur um Bankkonten – der gesamte digitale Fußabdruck wird zur Ware. Die Fähigkeit, 2FA-Codes aus verschlüsselten Chats oder Authenticator-Apps via Screen-Reading auszulesen, hebelt gängige Sicherheitsstandards aus.

Google bestätigt: Play Protect schützt vor bekannten Versionen, im Play Store wurden keine infizierten Apps gefunden. Die Infektion erfolgt fast ausschließlich über Sideloading – das Installieren aus unsicheren Quellen.

So schützen Sie sich

Kritische Schutzmaßnahmen:

• Niemals Sideloading: Installieren Sie Apps ausschließlich aus dem Google Play Store. Die meisten Sturnus-Infektionen stammen von gefälschten Webseiten mit angeblichen “dringenden Chrome-Updates”

• Berechtigungs-Check: Verweigern Sie Apps grundsätzlich den Zugriff auf Bedienungshilfen, wenn es keinen offensichtlichen Grund gibt. Dies ist das Haupt-Einfallstor

• Play Protect aktivieren: Prüfen Sie, ob Google Play Protect aktiv ist und regelmäßig scannt

• Verdachtsfall: Wird Ihr Bildschirm plötzlich schwarz, das Gerät vibriert oder gibt Töne von sich? Sofort hart ausschalten (langes Drücken der Power-Taste) und im abgesicherten Modus neu starten

Das Smartphone ist 2025 der Tresorschlüssel zum digitalen Leben. Sturnus zeigt: Dieser Schlüssel ist begehrter denn je – und erschreckend leicht zu kopieren.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine oft unterschätzte Lücke, durch die Malware wie Sturnus eindringt. Fordern Sie jetzt das Gratis-Sicherheitspaket für Android an: Checklisten, konkrete Einstellungen (z. B. Bedienungshilfen prüfen, Play Protect aktivieren) und klare Anleitungen zum sofortigen Schutz von Chats und Banking-Apps. Jetzt kostenlosen Android-Schutz herunterladen