Sturnus: Neue Trojaner-Bedrohung hebelt WhatsApp-Verschlüsselung aus

Ein hochentwickelter Android-Trojaner namens „Sturnus” kann die Ende-zu-Ende-Verschlüsselung von WhatsApp, Signal und Telegram umgehen. Das niederländische Cybersecurity-Unternehmen ThreatFabric warnte am Donnerstag vor der neuen Schadsoftware, die derzeit in Süd- und Mitteleuropa aktiv ist.

Die Besonderheit: Anders als herkömmliche Banking-Trojaner beschränkt sich Sturnus nicht auf den Diebstahl von Finanzdaten. Die Malware verfügt über ausgefeilte Überwachungsfunktionen, die selbst die Sicherheitsvorkehrungen verschlüsselter Messenger-Apps ins Leere laufen lassen.

ThreatFabric benannte die Malware nach dem wissenschaftlichen Namen des europäischen Stars (Sturnus vulgaris) – eine Anspielung auf die Fähigkeit dieses Vogels, andere Arten nachzuahmen. Die Forscher entdeckten den Trojaner während routinemäßiger Bedrohungsanalysen.

Zwar befindet sich Sturnus nach Einschätzung der Experten noch in einer „Entwicklungs- oder eingeschränkten Testphase”, ist aber bereits voll funktionsfähig. Die Malware wird aktuell in gezielten Kampagnen mit geringer Verbreitung eingesetzt.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen. Gerade bei Banking‑Trojanern wie Sturnus können missbrauchte Bedienungshilfen und gefälschte Overlay‑Logins Konto‑Zugang und private Chats preisgeben. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Android gegen Schadsoftware, unerwünschte Berechtigungen und gefälschte Banking‑Overlays schützen — inklusive Checkliste und einfachen Anleitungen für WhatsApp, Online‑Banking und App‑Berechtigungen. Jetzt kostenloses Android-Sicherheitspaket herunterladen

„Sturnus stellt eine hochentwickelte und umfassende Bedrohung dar”, heißt es im Bericht vom Donnerstag. „Die Kombination aus Overlay-basiertem Zugangsdatendiebstahl, Nachrichtenüberwachung und Echtzeit-Bildschirmstreaming gefährdet sowohl die finanzielle Sicherheit als auch die Privatsphäre der Opfer.”

Verschlüsselung ausgehebelt durch Barrierefreiheit

Wie kann ein Trojaner die als unknackbar geltende Ende-zu-Ende-Verschlüsselung umgehen? Die Antwort liegt im Angriffspunkt: Sturnus greift nicht die Verschlüsselung selbst an, sondern das Endgerät des Nutzers.

Die Malware missbraucht Androids Bedienungshilfen (Accessibility Services) – Funktionen, die eigentlich Menschen mit Behinderungen unterstützen sollen. Mit diesen Berechtigungen kann Sturnus die Benutzeroberfläche des Smartphones auslesen und sieht damit faktisch alles, was auf dem Bildschirm erscheint.

„Da die Malware auf die Protokollierung durch Bedienungshilfen statt auf Netzwerk-Abfangen setzt, kann sie alles lesen, was auf dem Bildschirm erscheint”, erklären die Forscher. Dazu gehören Kontakte, komplette Unterhaltungsverläufe sowie Inhalte ein- und ausgehender Nachrichten – und zwar in Echtzeit.

Der Clou: Die Angreifer lesen die Nachrichten erst nach deren Entschlüsselung durch die legitime App. Sie müssen die Verschlüsselungsalgorithmen gar nicht knacken, sondern schauen dem Nutzer quasi über die Schulter.

Banking-Betrug und Fernsteuerung

Trotz der Überwachungsfähigkeiten bleibt Sturnus in erster Linie ein Banking-Trojaner. Die Schadsoftware nutzt „regionsspezifische Overlay-Vorlagen”, die Login-Bildschirme echter Banking-Apps täuschend echt nachahmen. Öffnet ein Opfer seine Banking-App, blendet Sturnus eine gefälschte Oberfläche ein und stiehlt die Zugangsdaten.

Darüber hinaus verfügt die Malware über ein leistungsstarkes VNC-Modul (Virtual Network Computing), das eine vollständige Fernsteuerung des Geräts ermöglicht. Die Angreifer können:

• Bildschirm fernsteuern und Gesten ausführen (Tippen, Wischen)
• Text eingeben und Befehle unbemerkt ausführen
• Einen schwarzen Bildschirm einblenden, um ihre Aktivitäten zu verschleiern

Besonders perfide: Versucht ein Nutzer, zu den Einstellungen zu navigieren, um die App zu deinstallieren oder Berechtigungen zu entziehen, erkennt Sturnus dies automatisch und zwingt das Gerät zurück zum Startbildschirm. Praktisch wird der Nutzer aus seinen eigenen Sicherheitseinstellungen ausgesperrt.

Chaotische Kommunikation als Tarnstrategie

Der Name Sturnus spielt nicht nur auf die Nachahmungsfähigkeit des Vogels an, sondern auch auf die komplexe Kommunikationsinfrastruktur der Malware. Sie nutzt eine chaotische Mischung aus Klartext, AES- und RSA-Verschlüsselung für die Verbindung zu ihren Command-and-Control-Servern.

Dieser „gemischte Rauschen”-Ansatz soll Netzwerk-Sicherheitstools täuschen, die nach einheitlichen verdächtigen Datenverkehrsmustern suchen. Eine Strategie, die an die Vielfalt der Gesänge europäischer Stare erinnert.

Feldtest für größere Operationen?

ThreatFabric geht davon aus, dass die aktuellen Sturnus-Kampagnen Praxistests darstellen. Die Angreifer verfeinern ihre Werkzeuge offenbar, bevor sie diese in größerem Umfang einsetzen.

„Obwohl die Verbreitung derzeit begrenzt bleibt, deutet die Kombination aus geografischer Fokussierung und Auswahl hochwerter Anwendungen darauf hin, dass die Angreifer ihre Tools für umfangreichere oder koordinierte Operationen vorbereiten”, warnt der Bericht.

Die hohe Codequalität und ausgefeilten Verschleierungstechniken lassen auf gut ausgestattete Akteure schließen. Die modulare Architektur der Malware könnte zudem leicht für andere Regionen angepasst werden – der Fokus auf Europa könnte nur der Anfang sein.

Nutzer sollten äußerst skeptisch sein, wenn Apps Zugriff auf Bedienungshilfen fordern, ohne dass dafür ein eindeutiger, legitimer Grund vorliegt. Denn die stärkste Verschlüsselung nützt nichts, wenn das Gerät selbst kompromittiert ist.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer. Der Gratis‑Report zeigt, wie Sie Bedienungshilfen prüfen, App‑Berechtigungen richtig setzen, sichere Banking‑Apps erkennen und verdächtige Fernzugriffe blockieren. Ideal, wenn Sie WhatsApp, Telegram oder Online‑Banking nutzen und Ihre verschlüsselte Kommunikation trotzdem vor Mitlesern schützen wollen. Gratis-Sicherheits‑Paket für Android anfordern