Sturnus: Banking-Trojaner liest WhatsApp und Signal mit

Sicherheitsforscher haben eine neue Android-Malware enttarnt, die verschlüsselte Messenger ausspioniert. Sturnus greift Bankdaten ab und liest WhatsApp-, Signal- und Telegram-Nachrichten im Klartext mit – trotz Ende-zu-Ende-Verschlüsselung.

Die Entdeckung durch ThreatFabric markiert eine neue Eskalationsstufe: Erstmals kombiniert ein Banking-Trojaner klassische Angriffsmethoden mit gezielter Messenger-Spionage in bisher ungekannter Präzision.

Sturnus knackt die Verschlüsselung nicht – das wäre mathematisch nahezu unmöglich. Stattdessen nutzt die Malware einen cleveren Trick: Sie missbraucht Androids Bedienungshilfen, um den Bildschirm in Echtzeit auszulesen.

Der Angriff funktioniert so: Sobald eine Nachricht in WhatsApp oder Signal geöffnet wird, entschlüsselt die App den Text zur Anzeige. Genau in diesem Moment greift Sturnus zu und liest die Daten direkt vom Display ab.

Viele Android-Nutzer übersehen diese fünf einfachen Schutzmaßnahmen – und geraten so ins Visier von Spionage-Apps wie Sturnus. Unser kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie Play Protect richtig nutzen, welche Berechtigungen kritisch sind, wie Sie Bedienungshilfen prüfen und App‑Quellen sicher halten. Dazu gibt es eine praktische Checkliste und konkrete Beispiele, damit Sie Ihr Gerät in wenigen Minuten härten. Jetzt kostenloses Android-Sicherheits-Paket herunterladen

Die Malware schaut dem Nutzer quasi über die Schulter. Private Konversationen, TANs und vertrauliche Informationen landen im Klartext bei den Angreifern.

Fernsteuerung und unsichtbare Aktionen

Neben der Spionage beherrscht Sturnus eine weitere gefährliche Funktion: Die komplette Geräteübernahme. Ein integriertes VNC-Modul ermöglicht Cyberkriminellen die Fernsteuerung des Smartphones.

Besonders perfide ist die “Black Screen”-Attacke:

• Getarnte Angriffe: Der Bildschirm wird verdunkelt oder zeigt ein gefälschtes “System-Update”
• Hintergrund-Betrug: Während das Opfer glaubt, sein Gerät sei ausgeschaltet, führen Kriminelle Überweisungen durch
• Keylogging: Jeder Tastendruck – einschließlich PINs und Passwörter – wird aufgezeichnet

Europa im Visier

Die aktuellen Kampagnen konzentrieren sich auf Süd- und Zentraleuropa. Sturnus verwendet gefälschte Anmeldemasken, die sich über legitime Banking-Apps legen und Zugangsdaten abfangen.

Der Name “Sturnus” (lateinisch für Star) bezieht sich auf die Fähigkeit der Malware, verschiedene Kommunikationsmuster zu imitieren. Über gemischte Kanäle – HTTP und WebSocket – werden die erbeuteten Daten an Command-and-Control-Server übermittelt.

Obwohl sich die Malware laut Analysten noch in der Entwicklungsphase befindet, ist sie bereits voll funktionsfähig und hochgefährlich.

Der schwächste Punkt: Der Mensch

Das Auftauchen von Sturnus zeigt eine deutliche Weiterentwicklung gegenüber Bedrohungen wie ToxicPanda oder FakeCall aus 2024. Die neue Malware kombiniert klassische Banking-Trojaner-Funktionen mit gezielter Messenger-Spionage.

Warum dieser Strategiewechsel? Banken schützen ihre Apps durch Biometrie und App-Shielding immer besser. Angreifer verlagern ihren Fokus deshalb auf das schwächste Glied – den Nutzer und dessen Kommunikation.

Die Umgehung von Ende-zu-Ende-Verschlüsselung durch Bedienungshilfen ist technisch nicht neu. Sturnus setzt diese Methode aber mit bisher selten gesehener Präzision und Automatisierung ein.

So schützen Sie sich

Experten erwarten eine Ausweitung der Angriffe im Weihnachtsgeschäft. Diese Maßnahmen helfen:

• Google Play Protect aktivieren: Die Schutzfunktion erkennt und blockiert bekannte Sturnus-Versionen
• Nur aus offiziellen Quellen installieren: Die Hauptinfektionsquelle sind Apps außerhalb des Play Stores, getarnt als Browser-Updates oder Produktivitäts-Tools
• Bedienungshilfen-Rechte prüfen: Apps, die unvermittelt Zugriff auf Accessibility Services fordern, sofort deinstallieren

Die Entdeckung von Sturnus zeigt: Selbst verschlüsselte Kommunikation bietet keinen Schutz, wenn das Endgerät kompromittiert ist.

PS: Sie nutzen WhatsApp, Signal oder Telegram? Bevor Sie der nächsten Schadsoftware zum Opfer fallen, lesen Sie kurz die fünf wichtigsten Schutz-Regeln. Der kompakte Leitfaden zeigt, wie Sie unberechtigte Bedienungshilfen erkennen, Play Protect aktivieren, Hintergrundrechte limitieren und verdächtige Apps entfernen – alles verständlich erklärt und sofort umsetzbar. Perfekt, um das Risiko durch Banking-Trojaner und Display‑Abgriff zu minimieren. Gratis-Download per E‑Mail, keine Software notwendig. Kostenloses Android-Schutzpaket per E‑Mail anfordern