Sturnus: Banking-Trojaner hebelt WhatsApp-Verschlüsselung aus

Android-Nutzer stehen vor einer neuartigen Bedrohung. Der Banking-Trojaner “Sturnus” greift verschlüsselte Messenger-Inhalte ab, indem er Bildschirminhalte mitliest – noch bevor die Daten verschlüsselt werden.

Sicherheitsforscher von ThreatFabric schlugen diese Woche Alarm. Ihre am Donnerstag veröffentlichte Analyse zeigt: Die Malware umgeht Ende-zu-Ende-Verschlüsselung nicht durch Knacken, sondern durch cleveres Timing. Sobald eine WhatsApp-, Signal- oder Telegram-Nachricht auf dem Display erscheint, liest Sturnus mit.

Der Name lehnt sich an den Star-Vogel (Sturnus vulgaris) an – eine Anspielung auf das chaotische Kommunikationsverhalten der Malware mit ihren Steuerungsservern. Doch die Fähigkeiten sind alles andere als harmlos.

Viele Android-Nutzer unterschätzen die Gefahr durch Screen‑Capture‑Malware wie Sturnus – Spyware‑Vorfälle stiegen 2025 um 147 Prozent. Der kostenlose “Sicherheitspaket”-Ratgeber zeigt Ihnen fünf konkrete Schutzmaßnahmen: Wie Sie Sideloading verhindern, Bedienungshilfen prüfen, Play Protect optimal einstellen, App‑Berechtigungen kontrollieren und einfache Backups anlegen. Mit leicht verständlichen Schritt‑für‑Schritt‑Anleitungen sichern Sie WhatsApp, Signal & Co. sofort. Jetzt kostenloses Sicherheitspaket anfordern

Sturnus missbraucht Androids “Display Capture Framework” und die Bedienungshilfen. Die Technik ist perfide: Statt die Verschlüsselung anzugreifen, wartet die Malware einfach, bis der Nutzer seine Nachrichten öffnet.

Die gefährlichsten Funktionen:

• Echtzeit-Streaming des kompletten Bildschirminhalts an die Angreifer
• Keylogging zur Erfassung von Passwörtern und PINs
• Black-Screen-Modus – der Bildschirm wird schwarz geschaltet, während im Hintergrund Überweisungen durchgeführt werden

Besonders raffiniert: Die Malware zeigt gefälschte “System-Update”-Meldungen an. Während das Opfer auf die Installation wartet, bestätigen Kriminelle Banking-Transaktionen im Hintergrund.

Europa im Visier

Die Analyse zeigt: Sturnus wird bereits aktiv eingesetzt. Die Konfiguration zielt gezielt auf Banken in Süd- und Zentraleuropa ab. Die Verbreitung erfolgt über “Sideloading” – Nutzer installieren vermeintlich legitime Apps aus unsicheren Quellen.

In untersuchten Fällen tarnte sich Sturnus als Google Chrome Update oder als App namens “Preemix Box”. Nach der Installation fordert die Software aggressive Berechtigungen, vor allem Zugriff auf die Bedienungshilfen. Wird dieser gewährt, blockiert die Malware den Zugriff auf Systemeinstellungen und verhindert so ihre Deinstallation.

Ein kritischer November

Das Timing könnte kaum ungünstiger sein. Anfang November musste Google bereits die kritische Schwachstelle CVE-2025-48593 schließen, die Angreifern theoretisch Remote Code Execution ermöglichte.

Die Zahlen sprechen eine deutliche Sprache: Spyware-Vorfälle auf Android-Geräten stiegen 2025 um 147 Prozent. Angreifer setzen zunehmend auf KI-gestützte Tools, um Schadcode schneller anzupassen.

Google rüstet auf

Google Play Protect erhielt im November ein wichtiges Update. Die neue “Live Threat Detection” nutzt künstliche Intelligenz, um verdächtiges App-Verhalten in Echtzeit zu erkennen – etwa unberechtigte Zugriffe auf Mikrofon oder Bildschirmaufzeichnung.

Diese drei Regeln schützen

1. Keine Apps von außerhalb des Play Stores installieren. Die Sturnus-Tarnung als “Chrome Update” funktioniert nur bei manuell heruntergeladenen APK-Dateien.

2. Bedienungshilfen-Zugriff verweigern. Extreme Skepsis ist angebracht, wenn Apps – selbst scheinbar harmlose – Zugriff auf Accessibility Services verlangen.

3. Play Protect aktiviert lassen. Regelmäßige automatische Scans sind die erste Verteidigungslinie.

Testphase vor Massenangriff?

ThreatFabric geht davon aus, dass sich Sturnus noch in einer Testphase befindet. Die Entwickler verfeinern offenbar ihre Methoden, bevor sie zu einer breiteren Kampagne übergehen. Experten erwarten diese in den kommenden Wochen.

Die Entdeckung markiert einen Wendepunkt: Wenn Malware-Autoren standardmäßig Verschlüsselung durch Bildschirmüberwachung umgehen, verliert eines der wichtigsten Sicherheitsversprechen moderner Messenger an Wert. Google wird vermutlich in künftigen Android-Versionen den Zugriff auf Display-Capture und Bedienungshilfen weiter einschränken müssen.

Bis dahin gilt: Der aufmerksame Nutzer bleibt die wichtigste Verteidigungslinie.

PS: So sichern Sie Ihr Android ohne teure Zusatz‑Apps. Dieses Gratis‑Paket erklärt praxisnah, welche Einstellungen Sie sofort ändern sollten – von eingeschränkten Berechtigungen über automatische App‑Prüfungen bis zur Vermeidung von Sideloading. Zusätzlich enthält der Leitfaden Checklisten und schnelle Schritte für sichere Messenger‑Nutzung, damit Kriminelle keine Chance haben. Holen Sie sich den kompakten Schutz‑Guide zum Sofortschutz Ihres Smartphones. Gratis-Ratgeber jetzt herunterladen