Sturnus-Malware, Verschlüsselung

Sturnus-Malware umgeht Verschlüsselung von Signal und WhatsApp

24.11.2025 - 19:39:12

Sturnus-Malware umgeht Verschlüsselung von Signal und WhatsApp - Foto: über boerse-global.de
Sturnus-Malware umgeht Verschlüsselung von Signal und WhatsApp - Foto: über boerse-global.de

Eine hochentwickelte Android-Schadsoftware namens „Sturnus” greift derzeit Nutzer in Europa an – und macht dabei selbst die Ende-zu-Ende-Verschlüsselung von Signal, WhatsApp und Telegram nutzlos. Doch wie ist das möglich?

Die niederländische Sicherheitsfirma ThreatFabric hat Ende vergangener Woche einen Bericht veröffentlicht, der aufhorchen lässt. Sturnus repräsentiert einen Quantensprung bei mobilen Bedrohungen. Statt wie herkömmliche Spionagesoftware den Netzwerkverkehr abzufangen, nutzt diese Malware die Barrierefreiheitsdienste (Accessibility Services) von Android, um entschlüsselte Nachrichten direkt vom Bildschirm auszulesen. Die eigentlich sichere Verschlüsselung wird damit praktisch wertlos – weil sie am Endgerät ausgehebelt wird.

Das Perfide an Sturnus: Die Schadsoftware greift nicht die starke Verschlüsselung an, sondern wartet schlicht ab, bis der Nutzer selbst die Nachricht öffnet und liest. Dann schlägt sie zu.

ThreatFabric-Forscher erläuterten in ihrem Bericht vom 20. November 2025, wie Sturnus vorgeht: Die Malware täuscht Nutzer und bringt sie dazu, ihr Zugriff auf die Barrierefreiheitsdienste zu gewähren – eine Funktion, die eigentlich Menschen mit Behinderungen unterstützen soll. Mit dieser Berechtigung erhält die Schadsoftware Zugriff auf den kompletten „UI-Tree” des Geräts, also sämtliche Texte und interaktive Elemente auf dem Display.

Anzeige

Viele Android-Nutzer übersehen genau die fünf Schutzmaßnahmen, die am effektivsten vor Banking‑Trojanern und Screen‑Reading‑Malware wie Sturnus schützen. Der kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie riskante Berechtigungen (z. B. Barrierefreiheits‑Dienste) erkennen, Sideloads vermeiden, Smishing‑Links entlarven und Overlay‑Angriffe verhindern – konkret an Beispielen für WhatsApp, Telegram und mobiles Online‑Banking. Inklusive praktischer Checkliste für schnelle Sicherheitseinstellungen. Jetzt kostenloses Android-Sicherheits-Paket anfordern

„Weil die Malware auf das Accessibility-Service-Logging setzt statt auf Netzwerk-Abfangen, kann sie alles lesen, was auf dem Bildschirm erscheint – einschließlich Kontakte, vollständige Gesprächsverläufe und Inhalte ein- und ausgehender Nachrichten”, heißt es im Bericht. Und das geschieht in Echtzeit.

Sobald ein Nutzer eine App wie Telegram oder Signal öffnet, aktiviert die Malware automatisch ihre Datensammel-Pipeline. Die Angreifer ernten sensible Kommunikation, nachdem die legitime App sie für den Nutzer bereits entschlüsselt hat.

Vollständige Geräteübernahme: Mehr als nur Spionage

Doch beim Nachrichten-Ausspähen bleibt es nicht. Sturnus ist in erster Linie ein hochentwickelter Banking-Trojaner, der darauf ausgelegt ist, Finanzbetrügereien durchzuführen, ohne dass das Opfer etwas bemerkt.

Die Malware verfügt über ein Arsenal an Funktionen:

  • Fernzugriff (VNC): Angreifer können den Bildschirm des Opfers live streamen und das Gerät fernsteuern – inklusive Klicks und Gesten.
  • Schwarzer Bildschirm: Um betrügerische Aktivitäten zu verbergen, kann Sturnus einen schwarzen Bildschirm über das Display legen. Das Handy scheint gesperrt oder beim Update zu sein, während im Hintergrund Bankkonten geplündert werden.
  • Banking-Overlays: Die Schadsoftware injiziert gefälschte Login-Masken über echte Banking-Apps, um Zugangsdaten abzugreifen.
  • Selbstschutz-Mechanismen: Versucht ein Nutzer, in die Einstellungen zu navigieren, um die App zu deinstallieren oder Berechtigungen zu entziehen, erkennt Sturnus dies automatisch. Die Malware zwingt das Gerät zurück zum Startbildschirm oder schließt das Einstellungsmenü.

Fokus auf Südeuropa: Banken im Visier

Die aktuelle Kampagne scheint sich noch in einer „frühen Testphase” zu befinden, ist aber bereits voll funktionsfähig und brandgefährlich. Telemetriedaten zeigen, dass die Betreiber gezielt Finanzinstitute in Süd- und Mitteleuropa ins Visier nehmen. Spanien, Italien und Portugal gelten als wahrscheinliche Hotspots.

Diese geografische Ausrichtung fügt sich in einen breiteren Trend ein: Fortgeschrittene Banking-Trojaner verlagern ihren Fokus 2025 zunehmend von Südostasien auf den europäischen Markt. Verbreitet wird Sturnus hauptsächlich über Phishing-Kampagnen (Smishing) und gefälschte Apps, die sich als legitime Updates tarnen – etwa angebliche „Google Chrome”-Aktualisierungen oder generische „Preemix”-Tools.

Das Endgeräte-Problem: Wenn Verschlüsselung nicht mehr hilft

Sturnus offenbart eine fundamentale Schwachstelle: Software-Verschlüsselung kann nicht schützen, wenn die Hardware-Umgebung kompromittiert ist.

„Ende-zu-Ende-Verschlüsselung ist mathematisch sicher, aber sie setzt voraus, dass das Endgerät nicht kompromittiert ist”, erklärte ein Sicherheitsanalyst am Wochenende. „Malware wie Sturnus zeigt: Wenn ein Angreifer die Barrierefreiheits-Ebene des Betriebssystems kontrolliert, muss er die Verschlüsselung nicht knacken – er wartet einfach, bis der Nutzer die Tür selbst öffnet.”

Die Entdeckung folgt auf den „ToxicPanda”-Banking-Trojaner, der Anfang des Jahres ebenfalls europäische Nutzer attackierte. Sturnus hebt sich jedoch durch seinen aggressiven Fokus auf datenschutzzentrierte Messenger-Apps ab. Das deutet darauf hin, dass die Betreiber neben direktem Finanzdiebstahl auch an hochwertigem nachrichtendienstlichem Material oder Erpressungsinformationen interessiert sind.

Abwehr und Zukunftsaussichten

Google kämpft aktiv gegen den Missbrauch der Barrierefreiheitsdienste. In den aktuellen Android-Versionen (Android 13 und 14) wurden strengere Einschränkungen eingeführt, um „sideloaded” Apps daran zu hindern, diese Berechtigungen einfach anzufordern. Doch Social Engineering bleibt eine wirksame Umgehungsstrategie: Angreifer überzeugen Opfer, diese Einstellungen manuell unter falschen Vorwänden zu aktivieren.

Sicherheitsanbieter wie Symantec (Broadcom) haben ihre Erkennungsdefinitionen bereits aktualisiert, um bekannte Sturnus-Varianten zu identifizieren. Für Nutzer bleibt die wichtigste Verteidigung strikt prozedural:

  1. Keine Sideloads: Installieren Sie Apps ausschließlich aus dem offiziellen Google Play Store.
  2. Berechtigungen hinterfragen: Seien Sie extrem misstrauisch bei Apps, die „Barrierefreiheitsdienste” anfordern.
  3. Updates überprüfen: Legitime Browser- und System-Updates kommen über den Play Store oder die Systemeinstellungen – niemals über zufällige APK-Downloads oder SMS-Links.

Da Sturnus sich offenbar in aktiver Entwicklung befindet, erwarten Forscher eine rasche Evolution der Malware. In den kommenden Monaten dürfte die Zahl der Zielregionen und angegriffenen Bankinstitute weiter steigen.

Anzeige

PS: Diese fünf Maßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine häufig unterschätzte Lücke, die Banking‑Trojaner wie Sturnus ausnutzen. Holen Sie sich den gratis Leitfaden mit verständlichen Screenshots, einer Checkliste zum Überprüfen Ihrer Berechtigungen und konkreten Schritten gegen Smishing sowie gefälschte App‑Updates. Ideal für Nutzer von WhatsApp, Signal und mobilen Banking‑Apps. Jetzt den kostenlosen Android-Ratgeber herunterladen

@ boerse-global.de
Die besten Black Friday Angebote für