Sturnus: Neue Android-Malware späht verschlüsselte Messenger aus

Sicherheitsforscher schlagen Alarm: Der Banking-Trojaner “Sturnus” überwacht WhatsApp, Telegram und Signal. Die Malware umgeht die Verschlüsselung durch einen perfiden Trick – und markiert eine neue Ära der mobilen Bedrohungen.

Die niederländische Sicherheitsfirma ThreatFabric hat am 20. November eine hochentwickelte Android-Malware identifiziert. Sturnus zielt nicht nur auf Bankdaten, sondern späht gezielt verschlüsselte Messenger aus. Derzeit sind vor allem Nutzer in Süd- und Zentraleuropa betroffen.

Was diese Bedrohung so gefährlich macht: Sturnus versucht gar nicht erst, die Verschlüsselung zu knacken. Stattdessen liest die Malware die Nachrichten direkt vom Display – nachdem sie auf dem Gerät entschlüsselt wurden.

Passend zum Thema: Viele Android-Nutzer unterschätzen genau diese Lücke – Bedienungshilfen und das Sideloading öffnen Angreifern Tür und Tor. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone, mit klaren Schritt-für-Schritt-Anleitungen zu Google Play Protect, App‑Quellen, Berechtigungen und Sicherheitsupdates. Der Leitfaden ist gratis per E‑Mail erhältlich und enthält praktische Checklisten, die Sie sofort umsetzen können, um WhatsApp, Online‑Banking und Ihre Privatsphäre zu schützen. Jetzt kostenloses Sicherheitspaket herunterladen

Der perfide Angriff auf die Privatsphäre

Sturnus tarnt sich meist als harmloses System-Update oder nützliche App. Einmal installiert, fordert die Malware weitreichende Berechtigungen für die Android-Bedienungshilfen. Gewährt der Nutzer diese, öffnet sich die Tür zur totalen Überwachung.

Die Malware kann dann:

• Bildschirminhalte auslesen – jede Nachricht wird erfasst, sobald sie angezeigt wird
• Tastatureingaben protokollieren – Passwörter und PINs landen direkt bei den Angreifern
• Overlay-Angriffe durchführen – täuschend echte Login-Masken fangen Zugangsdaten ab

ThreatFabric vermutet, dass sich Sturnus noch in einer Testphase befindet. Die Verbreitung erfolgt bisher gezielt, nicht massenhaft. Doch die Malware ist voll funktionsfähig und bereitet sich offenbar auf größere Kampagnen vor.

Gefährlicher Trend: Von ToxicPanda zu FakeCall

Sturnus reiht sich ein in eine Serie raffinierter Android-Bedrohungen. Bereits im November 2024 entdeckten Forscher von Cleafy den Banking-Trojaner ToxicPanda. Ungewöhnlich war die Täterstruktur: Chinesischsprachige Akteure griffen europäische Bankkunden an – insbesondere in Italien und Portugal.

ToxicPanda infizierte rund 1.500 Geräte und zielte auf Kunden von 16 spezifischen Banken. Die Malware ermöglichte “On-Device Fraud” – Betrug direkt auf dem Gerät des Opfers, um Sicherheitsmechanismen der Banken auszuhebeln.

Ende 2024 folgte FakeCall, eine Malware, die Voice Phishing perfektionierte. Sie klinkt sich tief ins Telefonsystem ein: Ruft ein Nutzer seine Bank an, fängt FakeCall den Anruf ab, zeigt die korrekte Nummer an – leitet das Gespräch aber zu Betrügern um. Selbst aufmerksame Nutzer erkennen den Betrug kaum.

Googles KI-Gegenwehr

Google hat seine Verteidigung massiv verstärkt. Die “Live Threat Detection” für Google Play Protect nutzt künstliche Intelligenz direkt auf dem Gerät. Sie analysiert das Verhalten von Apps in Echtzeit.

Versucht eine App exzessiv auf Benachrichtigungen zuzugreifen oder Bildschirmfreigaben zu erzwingen, kann Play Protect eingreifen. Der Vorteil: Die Erkennung basiert nicht mehr nur auf bekannten Signaturen, sondern auf verdächtigem Verhalten.

Dennoch zeigt der Erfolg von Sturnus die Grenzen dieser Technologie. Angreifer setzen verstärkt auf Social Engineering – sie bringen Nutzer dazu, Sicherheitswarnungen manuell wegzuklicken.

Totale Überwachung statt simpler Kontenplünderung

Die Kombination aus Messenger-Überwachung und klassischem Banking-Betrug markiert einen beunruhigenden Trend. Früher wollten Kriminelle nur TANs. Heute zielen sie auf das gesamte digitale Leben ab.

Ein unabhängiger Sicherheitsforscher warnt: “Wir sehen eine Konvergenz von Spionage-Software und Finanz-Malware. Das Smartphone ist nicht mehr nur ein Sicherheitsrisiko für Ihr Konto, sondern für Ihre gesamte Privatsphäre.”

Die Verschlüsselung von WhatsApp, Telegram und Signal bleibt mathematisch sicher. Doch das Endgerät ist zur Schwachstelle geworden – ein fundamentales Problem der mobilen Sicherheit.

So schützen Sie sich

Angesichts der aktuellen Bedrohungslage empfehlen Experten folgende Maßnahmen:

Seien Sie extrem vorsichtig bei Bedienungshilfen. Dies ist das Haupt-Einfallstor für Sturnus. Nur Apps für Menschen mit Behinderung sollten diese Berechtigung erhalten.

Laden Sie Apps ausschließlich aus dem Play Store. Das Risiko beim “Sideloading” aus unbekannten Quellen ist ungleich höher.

Aktivieren Sie Google Play Protect. Stellen Sie sicher, dass die Echtzeit-Überwachung in den Play-Store-Einstellungen läuft.

Halten Sie Ihr System aktuell. Die monatlichen Sicherheitsupdates schließen Lücken, die Malware oft als Einstiegspunkt nutzt.

Das Katz-und-Maus-Spiel geht weiter

Experten rechnen damit, dass Sturnus in den kommenden Wochen breiter gestreut wird. Google und andere Sicherheitsanbieter dürften ihre Erkennungsalgorithmen kurzfristig anpassen. Doch die Einsätze steigen: Längst geht es nicht mehr nur um Geld, sondern um die totale Kontrolle über das digitale Leben der Nutzer.

PS: Sie wollen verhindern, dass Malware wie Sturnus Ihre Chats mitliest? Dieser Gratis-Guide zeigt überraschend einfache Einstellungen und eine kurze Checkliste, mit der Sie Bedienungshilfen prüfen, Sideloading vermeiden und Play Protect richtig konfigurieren. Ideal, um WhatsApp, Telegram und Ihre Banking‑Apps schnell zu sichern – auch ohne viel Technik‑Wissen. Ein schneller Sicherheits-Check dauert nur wenige Minuten. Kostenlosen Android-Schutz-Guide sichern