Sturnus: Banking-Trojaner knackt WhatsApp und Signal

Ein hochentwickelter Android-Schädling bedroht Millionen Nutzer verschlüsselter Messenger. Die perfide Strategie: Statt die Verschlüsselung anzugreifen, liest die Malware einfach vom Bildschirm mit.

Sturnus heißt die neue Bedrohung, die das niederländische Sicherheitsunternehmen ThreatFabric diese Woche identifizierte. Der Banking-Trojaner mit Spionage-Funktionen umgeht die als unknackbar geltende Ende-zu-Ende-Verschlüsselung von WhatsApp, Telegram und Signal – durch einen Trick, der so simpel wie gefährlich ist.

Anstatt komplexe Verschlüsselungscodes während der Übertragung zu knacken, wartet Sturnus einfach ab. Sobald der berechtigte Nutzer sein Smartphone entsperrt und die Nachricht öffnet, schaut die Schadsoftware sozusagen über die Schulter. Möglich macht das die missbräuchliche Nutzung von Androids eigenen Bedienungshilfen.

Viele Android-Nutzer übersehen einfache Einstellungen, die Messaging-Apps und Mobile-Banking vor Mitlesern und Trojanern schützen. Ein kostenloser Praxis-Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone – mit klaren Schritt-für-Schritt-Anleitungen zu Berechtigungen, Google Play Protect, Sideloading-Checks und Absicherungen gegen Overlay-Angriffe. Schließen Sie die Lücken, die Malware wie Sturnus ausnutzt. Jetzt Gratis-Sicherheitspaket für Android herunterladen

Aktuell befindet sich die Malware in einer “Test- und Evaluierungsphase” in Süd- und Mitteleuropa. Doch Experten warnen: Die ausgefeilte Architektur deutet auf eine bevorstehende weltweite Kampagne hin.

Die fatale Schwachstelle liegt nicht in der Verschlüsselung selbst. Apps wie Signal und WhatsApp sind während der Datenübertragung mathematisch sicher. Doch irgendwann müssen die Nachrichten entschlüsselt werden – nämlich zur Anzeige auf dem Bildschirm.

Genau hier setzt Sturnus an. Die Malware missbraucht Androids Bedienungshilfen (Accessibility Services) – eigentlich gedacht für Menschen mit Behinderungen. Hat ein Opfer diese Berechtigung einmal erteilt – oft durch gefälschte System-Update-Meldungen getäuscht –, kann Sturnus praktisch alles auf dem Display “sehen” und “lesen”.

Die Technik dahinter: ein automatisiertes UI-Baum-Erfassungssystem. Sobald WhatsApp oder Telegram im Vordergrund laufen, scannt die Schadsoftware systematisch alle Textelemente auf dem Bildschirm. Eingehende und ausgehende Nachrichten, Kontaktnamen, ganze Konversationsverläufe – alles wird in Echtzeit abgegriffen.

“Diese Fähigkeit ist besonders gefährlich, weil sie die Ende-zu-Ende-Verschlüsselung komplett umgeht”, schreiben die ThreatFabric-Forscher in ihrem Bericht vom 20. November. “Der Angreifer erhält direkten Einblick in vermeintlich private Gespräche, ohne jemals den Netzwerkverkehr anrühren zu müssen.”

Totale Geräteübernahme möglich

Das Ausspähen von Nachrichten ist nur die Spitze des Eisbergs. Im Kern handelt es sich bei Sturnus um einen Banking-Trojaner für Finanzdiebstahl. Sein Werkzeugkasten ist erschreckend umfangreich.

Der “Schwarze Bildschirm”-Angriff

Eine der aggressivsten Funktionen: die vollständige Fernsteuerung des infizierten Smartphones per Virtual Network Computing (VNC). Die Angreifer können das Gerät bedienen, als hielten sie es selbst in der Hand. Damit das Opfer den Diebstahl nicht bemerkt, blendet die Malware einen schwarzen Bildschirm ein – getarnt als “System-Update” oder einfach nur leer.

Hinter dieser digitalen Gardine navigieren die Kriminellen durch Banking-Apps, genehmigen Überweisungen und ändern Sicherheitseinstellungen. Das Opfer wartet währenddessen geduldig, dass sein Smartphone das vermeintliche Update abschließt.

Banking-Overlays

Wie viele Vorgänger nutzt Sturnus sogenannte Overlay-Angriffe. Öffnet ein Nutzer seine Banking-App, legt die Schadsoftware blitzschnell ein gefälschtes Login-Fenster darüber. Diese Fälschungen sind vom Original kaum zu unterscheiden. Gibt der Nutzer seine Zugangsdaten ein, landen sie direkt auf dem Command-and-Control-Server der Angreifer.

Aktuell ist die Malware mit spezifischen Overlay-Vorlagen für Finanzinstitute in Süd- und Mitteleuropa ausgestattet – ein Hinweis auf eine hochgradig zielgerichtete Ersteinführung.

Verbreitung: Der Wolf im Chrome-Pelz

Derzeit wird Sturnus nicht über den offiziellen Google Play Store verbreitet. Stattdessen setzen die Kriminellen auf “Sideloading” – das Herunterladen bösartiger APK-Dateien von Drittanbieter-Websites oder über Phishing-SMS-Links.

Die Malware tarnt sich als vertraute, seriöse Anwendungen:
* Google Chrome (vorgebliche Updates oder Browser-Versionen)
* Preemix Box (und andere generische Utility-Apps)

Nach der Installation fordert die App aggressiv Bedienungshilfen-Berechtigungen an. Verweigert der Nutzer die Erlaubnis, nervt die Schadsoftware ihn penetrant oder blendet Overlays ein, die das Smartphone praktisch unbenutzbar machen, bis die Berechtigung erteilt wird.

Mit diesen Privilegien ausgestattet, richtet sich Sturnus dauerhaft ein. Der Trojaner versucht, sich Geräteadministrator-Rechte zu verschaffen – das verhindert eine einfache Deinstallation. Versucht der Nutzer, die Berechtigungen in den Einstellungen zu widerrufen, kann Sturnus die Einstellungs-App zum Absturz bringen oder automatisch zurücknavigieren.

Die “Endpunkt-Lücke” im Sicherheitssystem

Die Entstehung von Sturnus zeigt eine kritische Realität moderner Cybersicherheit: Verschlüsselung ist nur so stark wie das Gerät, auf dem sie läuft.

“Wir haben das letzte Jahrzehnt damit verbracht, die ‘Leitung’ zu sichern – sicherzustellen, dass niemand Daten zwischen Sender A und Empfänger B abfangen kann”, erklärt Dr. Elena Kovic, Mobilsicherheitsanalystin aus Zürich. “Doch Bedrohungen wie Sturnus greifen den ‘Endpunkt’ an. Wenn das Gerät selbst kompromittiert ist, wird die Verschlüsselung der Übertragung irrelevant. Es ist das digitale Äquivalent zum Lesen eines versiegelten Briefs, nachdem der Empfänger ihn geöffnet hat.”

Sturnus ist nicht die erste Malware, die Bedienungshilfen missbraucht – Schädlingsfamilien wie Gustuff und Anubis nutzten in der Vergangenheit ähnliche Taktiken. Doch Sturnus hebt sich durch seinen spezifischen Fokus auf hochsichere Messenger-Apps und sein “Testphasen”-Verhalten ab, das häufige Updates und Code-Verfeinerungen einschließt.

Der Name der Malware verweist übrigens auf den Europäischen Star (Sturnus vulgaris) – einen Vogel, bekannt für seine Imitationsfähigkeiten. Ein passender Name für ein Programm, das legitime Apps und Systembildschirme nachahmt.

Ausblick: Vorbereitung auf globale Expansion

Obwohl die aktuellen Infektionszahlen im Vergleich zu massiven Botnetzen relativ niedrig sind, deutet die Raffinesse von Sturnus darauf hin, dass es sich nicht um ein “Hobbyprojekt” handelt. Die Infrastruktur unterstützt hochvolumige Datenexfiltration, und der modulare Code ermöglicht es den Angreifern, schnell neue Ziele oder Funktionen hinzuzufügen.

Sicherheitsforscher prognostizieren: Nach Abschluss der aktuellen “Feintuning-Phase” in Europa werden die Betreiber ihre Zielliste wahrscheinlich auf globale Banken ausweiten. Möglicherweise verkaufen sie die Malware auch als Service (MaaS) an andere Cyberkriminelle.

So schützen Sie sich:
* Kein Sideloading: Laden Sie niemals Apps von außerhalb des offiziellen Google Play Store oder vertrauenswürdiger Anbieter-Websites herunter.
* Berechtigungen prüfen: Seien Sie extrem misstrauisch gegenüber jeder App – selbst einem “Browser” oder “Utility-Tool” –, die Bedienungshilfen anfordert. Dies ist eine hochrangige Berechtigung, die legitime Apps selten benötigen.
* Google Play Protect aktivieren: Stellen Sie sicher, dass diese integrierte Android-Sicherheitsfunktion aktiv ist. Sie kann bekannte Varianten von Sideload-Malware erkennen und blockieren.
* Akkuverbrauch beobachten: Malware wie Sturnus läuft permanent im Hintergrund und führt oft zu ungewöhnlich starker Erwärmung oder schnellerer Akku-Entladung.

PS: Übrigens: Nutzen Sie WhatsApp, Telegram oder Mobile-Banking? Der gratis-Ratgeber “Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone” erklärt leicht verständlich, wie Sie Sideloading, missbräuchliche Bedienungshilfen und Overlay-Angriffe stoppen – inklusive praktischer Checkliste für sichere Einstellungen. Schützen Sie Ihre Chats und Konten in wenigen Schritten. Gratis-Ratgeber jetzt anfordern