Sturnus, Spionage-Malware

Sturnus: Neue Spionage-Malware umgeht Messenger-Verschlüsselung

27.11.2025 - 07:19:12

Sturnus: Neue Spionage-Malware umgeht Messenger-Verschlüsselung - Foto: über boerse-global.de
Sturnus: Neue Spionage-Malware umgeht Messenger-Verschlüsselung - Foto: über boerse-global.de

Sicherheitsforscher schlagen Alarm: Eine hochkomplexe Android-Malware hebelt die Verschlüsselung von WhatsApp, Signal und Telegram aus. Die Schadsoftware namens Sturnus befindet sich aktuell in der Testphase und zeigt beunruhigende Fähigkeiten.

Die von ThreatFabric entdeckte Malware nutzt einen raffinierten Trick: Statt die Verschlüsselung direkt anzugreifen, liest sie entschlüsselte Nachrichten direkt vom Bildschirm ab. Damit wird selbst Ende-zu-Ende-Verschlüsselung wirkungslos.

Wie verschafft sich Sturnus Zugang zu den Nachrichten? Die Antwort liegt in den Android-Bedienungshilfen. Diese eigentlich für Menschen mit Behinderungen gedachten Dienste erlauben es, Bildschirminhalte auszulesen und Eingaben zu automatisieren.

Anzeige

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen – gerade gegen Malware wie Sturnus, die Nachrichten vom Bildschirm ausliest. Unser kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie Play Protect richtig konfigurieren, Accessibility-Rechte prüfen, Sideloading verhindern und verdächtige Apps sofort erkennen. Mit praktischen Checklisten, einfachen Einstellungen und konkreten Anleitungen schützen Sie WhatsApp, Banking-Apps und private Daten. Der Ratgeber ist speziell für Android-Nutzer und lässt sich sofort umsetzen. Jetzt das kostenlose Android-Sicherheitspaket herunterladen

Die Malware tarnt sich als legitime App – häufig als Google Chrome oder Systemanwendung. Sobald Nutzer die geforderten Berechtigungen erteilen, übernimmt Sturnus die Kontrolle:

  • Screen Scraping: Direktes Auslesen entschlüsselter Nachrichten vom Display
  • WebSockets-Verbindung: Moderne Kommunikation mit Command-and-Control-Servern, schwer als bösartig erkennbar
  • HVNC-Fernsteuerung: Unsichtbare Kontrolle des Geräts im Hintergrund

Besonders perfide: Die Malware blockiert aktiv Versuche, ihre Berechtigungen zu entziehen. Versucht ein Nutzer, die Admin-Rechte in den Einstellungen zu entfernen, drückt Sturnus automatisch den “Zurück”-Button.

Europa im Visier der Angreifer

Die aktuelle Gefahr ist noch überschaubar – es handelt sich um gezielte Testläufe. Die Betreiber optimieren ihre Infrastruktur und prüfen die Effektivität.

Bisherige Kampagnen konzentrieren sich auf Süd- und Zentraleuropa. Gefälschte Banking-Overlays wurden für Institute in Italien, Spanien, Belgien und den Niederlanden entdeckt. Eine Ausweitung auf den deutschsprachigen Raum gilt als wahrscheinlich.

Die Verbreitung erfolgt über Sideloading – Apps werden nicht über den Play Store, sondern über Phishing-SMS oder manipulierte Webseiten verteilt. Typische Tarnung: angebliche Paket-Updates oder System-Tools.

Google aktiviert Schutzmaßnahmen

Google hat auf die Bedrohung reagiert und Entwarnung für vorsichtige Nutzer gegeben. Im offiziellen Play Store finden sich aktuell keine verseuchten Apps. Google Play Protect erkennt bekannte Sturnus-Varianten automatisch und warnt vor der Installation.

Die Bedingung: Der Schutzdienst muss aktiviert sein und Nutzer dürfen keine Apps aus unbekannten Quellen installieren. Wer diese Sicherheitsbarrieren umgeht, öffnet Sturnus Tür und Tor.

Professionalisierung der Malware-Szene

Sturnus reiht sich ein in einen beunruhigenden Trend. Ähnlich wie “ToxicPanda” oder “Teabot” zeigt die Malware Merkmale von Malware-as-a-Service. Kriminelle Entwickler vermieten ihre Software an andere Betrüger – eine Art illegales Abo-Modell für Cyberkriminalität.

Die technische Raffinesse übertrifft viele Vorgänger: Sturnus überwacht Sensoren und Batteriestatus, um Analyse-Umgebungen von Sicherheitsforschern zu erkennen. In verdächtigen Umgebungen stellt die Malware ihre Aktivität ein und entzieht sich so der Untersuchung.

Was Nutzer jetzt erwartet

Experten gehen davon aus, dass die Testphase der Vorbote größerer Kampagnen ist. Sobald die Entwickler die Stabilität bestätigt haben, dürfte Sturnus aggressiver verbreitet werden.

Wahrscheinliche Entwicklungen:

  • Neue Tarnungen: Paketverfolgungs-Apps, Steuer-Tools oder System-Updates als Köder
  • Geografische Ausweitung: Deutschland, Österreich und Frankreich als nächste Ziele
  • Technisches Wettrüsten: Google verbessert Play Protect, Malware-Autoren ändern ihren Code

Die Grundregeln bleiben entscheidend: Apps ausschließlich aus dem Play Store installieren, bei SMS-Links skeptisch bleiben und Accessibility-Berechtigungen nur vertrauenswürdigen Apps gewähren. Eine Taschenlampen-App benötigt keinen Zugriff auf Bedienungshilfen – solche Forderungen sind ein Alarmzeichen.

Solange Nutzer innerhalb des offiziellen Ökosystems bleiben und Play Protect aktiviert lassen, ist das Infektionsrisiko minimal. Die wahre Gefahr droht denen, die Sicherheitsbarrieren bewusst umgehen.

Anzeige

PS: Sie möchten schnell prüfen, ob Ihr Smartphone anfällig ist – und was im Ernstfall zu tun ist? Der Gratis-Report “Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone” führt Sie durch schnelle Prüfchecks, zeigt, wie Sie Play Protect aktivieren, Sideloading blockieren und unnötige Accessibility-Rechte entziehen. Ideal für WhatsApp-, Banking- und Messenger-Nutzer, praktisch erklärt und per E‑Mail zum Download. Jetzt kostenloses Android-Schutzpaket per E‑Mail anfordern

@ boerse-global.de
Die besten Black Friday Angebote für