Sturnus: Banking-Trojaner liest WhatsApp und Signal mit

Ein neuer Android-Schädling umgeht Ende-zu-Ende-Verschlüsselung durch Bildschirmaufnahme. Die Entdeckung erfolgt just an dem Tag, an dem die EU-Kommission ihre Digital-Verbraucherschutzstrategie für 2030 verabschiedet – ein bitterer Zufall, der die Kluft zwischen Cyberkriminalität und Regulierung schmerzhaft offenlegt.

Während Brüssel einen Digital Fairness Act für 2026 ankündigt, müssen sich Bankkunden heute gegen Bedrohungen wappnen, die selbst verschlüsselte Messenger-Apps quasi transparent machen. Können Gesetze überhaupt noch mit der Geschwindigkeit dieser technischen Angriffe mithalten?

Das niederländische Sicherheitsunternehmen ThreatFabric hat am Donnerstag Details zu Sturnus veröffentlicht – benannt nach der lateinischen Bezeichnung für Stare, Vögel, die für ihre Fähigkeit bekannt sind, andere Arten zu imitieren. Ein passender Name für eine Schadsoftware, die sich als Google Chrome oder harmlose „Preemix Box”-Updates tarnt.

Anders als frühere Banking-Trojaner, die vor allem auf gefälschte Login-Masken setzten, geht Sturnus einen Schritt weiter: Der Schädling liest Bildschirminhalte aus, nachdem das Gerät sie entschlüsselt hat. WhatsApp, Telegram, Signal – die Verschlüsselung läuft ins Leere, wenn der Angreifer einfach mitliest, was auf dem Display erscheint.

Passend zum Thema Smartphonesicherheit: Viele Android-Nutzer unterschätzen, wie schnell Schadsoftware wie Sturnus per Sideloading oder missbrauchten Accessibility‑Rechten Zugriff auf Konten und Chats bekommt. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen – mit klaren Schritt‑für‑Schritt‑Anleitungen, welche Berechtigungen Sie prüfen sollten, wie Sie sichere Apps erkennen und automatische Updates richtig einstellen. Schützen Sie WhatsApp, Online‑Banking und persönliche Daten noch heute. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Gottmodus durch Barrierefreiheit

Der Trick: Sturnus missbraucht Androids Accessibility Services, eigentlich gedacht für Menschen mit Behinderungen. Einmal aktiviert, erhält die Malware nahezu unbegrenzte Rechte:

• Bildschirmerfassung in Echtzeit: Einmalpasswörter, Chat-Verläufe, Kontodetails – alles wird abgegriffen, sobald es sichtbar wird
• Fernsteuerung per VNC: Angreifer übernehmen das Gerät komplett und führen Transaktionen direkt aus
• Unentfernbar: Durch Registrierung als Geräteadministrator wird das Löschen zur Herkulesaufgabe

ThreatFabric zufolge befindet sich Sturnus noch in einer „Testphase”, ist aber bereits voll funktionsfähig. Ziele sind derzeit Finanzinstitute in Süd- und Mitteleuropa. Die Kommunikation mit den Command-Servern läuft über eine komplexe AES-RSA-Verschlüsselung – ironischerweise nutzen die Kriminellen dieselben Sicherheitsmechanismen, die sie bei ihren Opfern aushebeln.

Brüssel plant das Gegengewicht

Nur einen Tag vor der Enthüllung, am 19. November, verabschiedete die EU-Kommission ihre 2030 Consumer Agenda – einen strategischen Rahmen für Verbraucherschutz im digitalen Zeitalter. EU-Kommissar Michael McGrath räumte ein, dass bestehende Gesetze mit „süchtig machenden Design-Features” und „unfairer Personalisierung” nicht Schritt halten.

Digital Fairness Act als Kernstück

Für 2026 ist der Digital Fairness Act (DFA) angekündigt, der sich gegen drei Hauptprobleme richten soll:

• Dark Patterns: Täuschende Benutzeroberflächen, die Nutzer zu Käufen oder Datenweitergabe manipulieren
• Sucht-Design: Algorithmen, die psychologische Schwächen ausnutzen, um Bildschirmzeit zu maximieren
• Influencer-Marketing: Strengere Haftung für rechtswidrige Werbepraktiken in sozialen Medien

„Unternehmen müssen denselben Standards genügen, egal ob sie in der EU ansässig sind oder nicht”, betonte McGrath. Ein begleitender Aktionsplan soll grenzüberschreitende Hürden im Binnenmarkt beseitigen und Betrugsopfern schnellere Rechtsmittel ermöglichen.

Gerichtshof verschärft Haftungsregeln

Passend zum politischen Vorstoß lieferte der Europäische Gerichtshof (EuGH) heute eine Entscheidung, die Unternehmensverantwortung neu definiert. Im Fall C-570/24 (Ecoserv) urteilten die Richter, dass Firmen selbst dann haften, wenn Mitarbeiter gegen die Interessen des Unternehmens handeln.

Der konkrete Fall betraf Steuerverfehlungen, doch das Prinzip der „objektiven Haftung” könnte Verbraucherschützer beflügeln: Sie fordern längst, dass Banken bei Authorized Push Payment Fraud – also betrügerischen Überweisungen, die Opfer selbst autorisieren – stärker in die Pflicht genommen werden.

Von ToxicPanda zu Sturnus: Die Evolution

Sturnus markiert den nächsten Entwicklungsschritt nach ToxicPanda, einem Banking-Trojaner, der Ende 2024 über 1.500 Geräte in Italien, Portugal und Spanien infizierte. ToxicPanda, entwickelt in China und für Europa angepasst, galt damals als Ausnahme.

„Die Bedrohungslandschaft hat sich verschoben”, erklärt ein leitender Analyst einer EU-Cybersicherheitsfirma. „ToxicPanda war auf schnelle Geldtransfers aus. Sturnus ist auf Persistenz und Informationsgewinnung ausgelegt – das macht ihn für hochwertige Ziele weitaus gefährlicher.”

Der Unterschied: Während ToxicPanda primär Geld stahl, verwandelt Sturnus das Smartphone in eine Wanze. Jede Nachricht, jeder Code, jede Banking-App liegt offen.

Die gefährliche Lücke bis 2026

Die zeitliche Kluft zwischen Bedrohung und Regulierung könnte kaum deutlicher sein. Der Digital Fairness Act kommt frühestens 2026, realistisch eher 2027. Bis dahin bleibt die Last beim Nutzer.

Die wichtigste Schutzmaßnahme: Niemals Apps außerhalb des Google Play Store installieren. Sideloading – das manuelle Herunterladen von APK-Dateien – ist der Hauptinfektionsweg für Sturnus und vergleichbare Schadsoftware.

ThreatFabric warnt eindringlich: „Wenn eine App Zugriff auf Accessibility Services verlangt, sollten alle Alarmglocken schrillen.” Auch aus dem Play Store stammen gelegentlich kompromittierte Apps, doch die Gefahr ist dort durch Googles Prüfverfahren signifikant geringer.

Mit Beginn der Weihnachtssaison – Hochsaison für Phishing und Banking-Betrug – verschärft sich das Wettrennen zwischen Malware-Entwicklern und Regulierern. Derzeit haben die Kriminellen den technischen Vorsprung. Die Frage ist: Wie viele Opfer wird es kosten, bis die Schutzlücke geschlossen ist?

PS: Gerade zur Weihnachtssaison steigt die Gefahr durch Phishing und Banking‑Trojaner – besonders, wenn Sie Apps außerhalb des Play Stores installieren oder ungewöhnliche Rechte gewähren. Der kostenlose Ratgeber erläutert die fünf wichtigsten Maßnahmen, die Ihr Android spürbar sicherer machen (Tipp 3 schließt gezielt die Lücke rund um Accessibility‑Zugriffe). Inklusive Checkliste und sofort umsetzbarer Schritte für WhatsApp, Online‑Banking und App‑Prüfung. Gratis-Sicherheitsratgeber für Android sichern