Sturnus: Android-Trojaner umgeht Verschlüsselung von WhatsApp und Signal

Ein hochentwickelter Banking-Trojaner mit dem Namen Sturnus versetzt Android-Nutzer in Alarmbereitschaft. Die Schadsoftware greift verschlüsselte Messenger-Inhalte ab – und das, obwohl WhatsApp, Telegram und Signal als sicher gelten. Wie kann das sein?

Die niederländische Sicherheitsfirma ThreatFabric veröffentlichte am vergangenen Donnerstag eine detaillierte Analyse der Malware. Die Besonderheit: Sturnus bricht die Verschlüsselung nicht etwa durch technische Finesse, sondern umgeht sie elegant. Der Trojaner zeichnet Bildschirminhalte auf, nachdem die Apps die Nachrichten bereits entschlüsselt haben. Eine perfide Methode, die Ende-zu-Ende-Verschlüsselung praktisch wertlos macht.

Die Entdeckung kommt nicht allein. Zeitgleich identifizierten Forscher am 19. November den Eternidade Stealer, der Brasiliens Finanzsektor ins Visier nimmt. Die globale Bedrohungslage durch spezialisierte Banking-Malware verschärft sich rapide.

Passend zum Thema Smartphone-Schutz – viele Android-Nutzer kennen nicht die fünf wichtigsten Maßnahmen, mit denen Screen‑Scraping und missbräuchliche Bedienungshilfen wirkungsvoll geblockt werden. Unser kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie Berechtigungen prüfen, unseriöse APKs erkennen und WhatsApp/Banking-Apps absichern. Dazu Tipps, wie Sie gefälschte “System-Updates” entlarven und Transaktionsversuche erkennen. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Anders als herkömmliche Banking-Trojaner beschränkt sich Sturnus nicht auf simple Overlay-Attacken zum Abfangen von Login-Daten. Die Schadsoftware zielt gezielt auf sichere Kommunikationsplattformen ab – eine neue Dimension mobiler Finanzkriminalität.

Der technische Kniff: Sturnus missbraucht die Android-Bedienungshilfen (Accessibility Services). Diese eigentlich für Menschen mit Behinderungen gedachte Funktion erlaubt es der Malware, sämtliche Bildschirminhalte mitzulesen. Sobald WhatsApp, Telegram oder Signal eine Nachricht für den Nutzer entschlüsseln und anzeigen, schnappt die Falle zu.

“Ein entscheidender Unterschied ist die Fähigkeit, verschlüsselte Kommunikation zu umgehen”, erklärten die ThreatFabric-Forscher in ihrem Donnerstags-Bericht. “Durch die Erfassung von Inhalten direkt vom Gerätebildschirm nach der Entschlüsselung kann Sturnus Kommunikation über WhatsApp, Telegram und Signal überwachen.”

Verbreitung und technische Raffinesse

Die Verbreitung erfolgt über manipulierte APK-Dateien, die sich als legitime Anwendungen tarnen. Besonders perfide: gefälschte Versionen von Google Chrome und eine App namens “Preemix Box”. Nach der Installation fordert Sturnus Berechtigungen für die Bedienungshilfen an – ein Standardtrick moderner Android-Malware.

Mit diesen Privilegien ausgestattet, verbindet sich der Trojaner über WebSocket und HTTP mit einem Command-and-Control-Server. Diese Doppelkanal-Kommunikation ermöglicht Echtzeit-Datenabfluss und Fernsteuerung.

Das Arsenal der Malware umfasst:

• Live-Bildschirmübertragung: Per VNC streamt die Software den Bildschirm in Echtzeit zu Angreifern – Banking-Sitzungen werden live mitverfolgt.
• Keylogging: Jeder Tastendruck wird aufgezeichnet, PINs, Passwörter und Zwei-Faktor-Codes landen beim Angreifer.
• Regionale Fake-Login-Masken: Sturnus präsentiert maßgeschneiderte Phishing-Seiten für Banken in Süd- und Mitteleuropa.
• Tarnung durch System-Updates: Während im Hintergrund Transaktionen durchgeführt werden, blendet die Malware einen gefälschten “System Update”-Bildschirm ein.

Parallel-Bedrohung: Brasilien im Fokus von “Eternidade”

Während Sturnus europäische Nutzer bedroht, entwickelt sich in Südamerika eine eigene Gefahrenlage. Am 19. November beschrieben Sicherheitsforscher den Eternidade Stealer, der gezielt das brasilianische Finanzökosystem attackiert.

Im Gegensatz zur technischen Raffinesse von Sturnus setzt Eternidade auf aggressive Social-Engineering-Taktiken und Script-basierte Automatisierung. Die Malware nutzt WhatsApp zur Verbreitung und verschickt automatisierte Nachrichten an sämtliche Kontakte infizierter Geräte.

Der Stealer prüft, ob das Gerät auf Portugiesisch läuft und scannt nach brasilianischen Banking-, Fintech- und Kryptowährungs-Apps. Bei Treffer werden Overlay-Angriffe zur Zugangsdaten-Beschaffung gestartet. Die globale Bedrohungslandschaft spaltet sich: hochentwickelte Privatsphäre-Attacken in Europa, virale Verbreitungsmechanismen in Lateinamerika.

Die Evolution zum “menschlichen” Verhalten

Sturnus fügt sich in einen besorgniserregenden Trend ein, der sich im November 2025 verstärkt hat: Malware-Entwickler konzentrieren sich zunehmend auf das Umgehen verhaltensbasierter Erkennungssysteme.

Bereits am 13. November identifizierten Forscher von Critical Start den Trojaner Herodotus. Diese Schadsoftware führte eine innovative Verschleierungstechnik ein: die Nachahmung menschlicher Tippgewohnheiten. Durch randomisierte Eingabeintervalle zwischen 0,3 und 3 Sekunden versucht Herodotus, biometrische Verhaltenserkennungen auszutricksen, die Bot-ähnliche Eingabegeschwindigkeiten markieren.

Sturnus scheint der nächste logische Entwicklungsschritt zu sein. Statt nur menschliches Verhalten nachzuahmen, beobachtet die Malware die private Kommunikation der Nutzer, um überzeugendere Betrugsversuche zu ermöglichen. Durch das Mitlesen von Telegram- oder Signal-Chats können Angreifer hochgradig personalisierte Phishing-Nachrichten erstellen oder antizipieren, wann ein Nutzer eine Transaktion erwartet – die Erfolgsquote steigt dramatisch.

ThreatFabric schätzt, dass Sturnus sich vermutlich noch in einer “Entwicklungs- oder begrenzten Testphase” befindet, basierend auf der Code-Struktur. Allerdings warnen die Experten, dass die Malware bereits “voll funktionsfähig” ist und mit sofort einsatzbereiten Templates ausgestattet wurde. Eine breitere Angriffswelle könnte unmittelbar bevorstehen.

Was kommt als Nächstes?

Die schnelle Abfolge dieser Berichte – Herodotus Mitte November, gefolgt von Eternidade und Sturnus diese Woche – deutet auf einen überfüllten und wettbewerbsintensiven Cybercrime-Markt pünktlich zur Weihnachtssaison 2025 hin.

Sicherheitsexperten erwarten, dass die von Sturnus eingesetzte “Screen-Scraping”-Technik zum Standardrepertoire künftiger Malware-Familien wird. Da Banking-Apps zunehmend auf biometrische Logins setzen, verlagern Angreifer ihren Fokus: Statt gestohlener Passwörter geht es um den Kontext des Nutzerlebens durch abgefangene Nachrichten – die Grundlage für raffiniertes Social Engineering.

Für Android-Nutzer gelten eindringliche Empfehlungen:

• Keine Seiteninstallationen: Apps ausschließlich über den Google Play Store beziehen, besonders angebliche Browser-Updates (wie das gefälschte Chrome bei Sturnus) ignorieren.
• Berechtigungen prüfen: Äußerste Vorsicht bei Apps, die Bedienungshilfen anfordern. Dies ist der Hauptangriffsvektor für Sturnus und Herodotus.
• Sicherheitssoftware aktualisieren: Google Play Protect aktivieren – der Dienst wird laufend aktualisiert, um bekannte Signaturen dieser neuen Trojaner-Familien zu erkennen.

Stand heute existiert kein spezifischer Patch, der den Missbrauch der Bedienungshilfen blockieren könnte – es handelt sich um eine legitime Android-Funktion. Die Wachsamkeit der Nutzer bleibt die erste Verteidigungslinie gegen diese neue Bedrohungswelle.

PS: Sie möchten WhatsApp, Telegram und Mobile-Banking vor neugierigen Mitlesern schützen? Das kostenlose Sicherheitspaket erläutert einfache, wirksame Maßnahmen – von sicheren Berechtigungseinstellungen bis zur Erkennung gefälschter Apps – und zeigt Checklisten für den Ernstfall. Ideal für alle Android-Nutzer, die sich schnell und ohne Zusatzkosten schützen wollen. Sofort umsetzbar, verständlich erklärt. Jetzt Android-Schutzpaket gratis anfordern