Sturnus: Neuer Android-Trojaner knackt verschlüsselte Messenger

Ein hochentwickelter Android-Bankingtrojaner versetzt Sicherheitsexperten in Alarmbereitschaft. Die Malware namens „Sturnus” kann nicht nur Bankdaten abgreifen, sondern auch verschlüsselte Nachrichten aus WhatsApp, Telegram und Signal auslesen – eine beispiellose Bedrohung für die digitale Privatsphäre.

Am 20. November 2025 schlugen Cybersicherheitsforscher Alarm: Sturnus hebelt praktisch alle Sicherheitsmechanismen moderner Smartphones aus. Die Schadsoftware übernimmt nahezu vollständige Kontrolle über infizierte Geräte und macht selbst Ende-zu-Ende-Verschlüsselung wirkungslos. Parallel verbreitet sich über WhatsApp ein selbstreplizierendes Schadprogramm – ein doppelter Frontalangriff auf die Sicherheit im mobilen Banking.

Besonders beunruhigend: Laut Analyse der Sicherheitsfirma ThreatFabric ist Sturnus bereits voll funktionsfähig und in manchen Bereichen fortschrittlicher als etablierte Schadsoftware-Familien. Dabei befindet sich die Malware offenbar noch in einer frühen Test- oder Entwicklungsphase. Die Fähigkeit, Kommunikation nach der Entschlüsselung auf dem Gerät abzufangen, stellt einen Quantensprung in der Bedrohungslandschaft dar.

Sturnus kombiniert mehrere Angriffsvektoren zu einem erschreckend effektiven Gesamtpaket. Die Hauptmethode zum Diebstahl von Zugangsdaten sind Overlay-Attacken: Über legitime Banking-Apps legt die Malware gefälschte Login-Bildschirme, um Benutzernamen und Passwörter abzugreifen.

Viele Android-Nutzer übersehen genau jene Einstellungen, die Banking-Trojaner wie Sturnus ausnutzen. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Gerät – mit klaren Schritt-für-Schritt-Anleitungen zum Sichern von WhatsApp, dem Erkennen und Verhindern von Overlay-Attacken sowie praktischen Update-Checks. So verhindern Sie, dass Schadsoftware Administrator-Rechte erlangt oder Passwörter abgegriffen werden. Der Download ist gratis und kommt als leicht verständlicher PDF per E‑Mail. Jetzt das kostenlose Android-Sicherheitspaket herunterladen

Doch damit nicht genug. Die Schadsoftware protokolliert sämtliche Tastatureingaben, überträgt den Bildschirminhalt in Echtzeit an die Angreifer und führt Fernbefehle aus. Während Kriminelle im Hintergrund Transaktionen durchführen, sehen Opfer nur einen schwarzen Bildschirm – sie bekommen von der Manipulation nichts mit.

Um dauerhaft auf dem Gerät zu bleiben, verschafft sich Sturnus Geräte-Administrator-Rechte und blockiert aktiv jeden Versuch der Nutzer, diese Privilegien zu widerrufen. Die Malware ist bereits mit Vorlagen für Banken in Süd- und Mitteleuropa konfiguriert. Bereiten sich die Hintermänner auf eine großangelegte Kampagne vor? Experten halten das für wahrscheinlich.

WhatsApp als Verteilungskanal: Der Wurm aus Brasilien

Während Sturnus sich möglicherweise auf den Großangriff vorbereitet, verfeinern andere Cyberkriminelle ihre Verbreitungsmethoden. In Brasilien kursiert derzeit ein Python-basierter Wurm, der den Bankingtrojaner „Eternidade Stealer” über WhatsApp verbreitet.

Der Angriff beginnt mit einem Social-Engineering-Trick: Nutzer werden dazu verleitet, ein bösartiges Skript auszuführen. Ist der Wurm erst einmal aktiv, kapert er die WhatsApp-Web-Sitzung des Opfers und verschickt automatisch schädliche Anhänge an alle Kontakte. Um unverdächtig zu wirken, verwenden die automatisierten Nachrichten personalisierte Begrüßungen.

Der Eternidade Stealer selbst zielt auf Zugangsdaten brasilianischer Banking-Portale, Zahlungsdienste und Kryptowährungsplattformen ab. Die Waffe der Wahl: das Vertrauen innerhalb sozialer Netzwerke. Wer würde schon eine Nachricht von einem Freund oder Familienmitglied anzweifeln?

KI im Dienst des Betrugs

Neben Malware, die Geräte direkt infiziert, rüstet sich die Finanzbranche gegen eine Welle KI-gestützter Social-Engineering-Angriffe. 2025 setzen Angreifer verstärkt künstliche Intelligenz ein, um hochpersonalisierte Phishing-Kampagnen zu automatisieren und zu skalieren.

KI-Modelle durchforsten öffentliche Daten aus sozialen Netzwerken und Berufsprofilen, um überzeugende E-Mails zu erstellen. Diese referenzieren spezifische, eigentlich nicht-öffentliche Details über Arbeit oder Privatleben des Ziels – selbst vorsichtige Menschen lassen so ihre Deckung fallen.

Noch alarmierender: der Aufstieg von „Vishing” (Voice-Phishing) und „Smishing” (SMS-Phishing) durch Deepfake-Technologie. Mit nur wenigen Sekunden Audio aus einer öffentlichen Quelle kann KI eine realistische Stimme klonen. Angreifer geben sich dann als Familienmitglied, Vorgesetzter oder Bankmitarbeiter aus. Der erzeugte Druck und das vermeintliche Vertrauen verleiten Opfer dazu, Zahlungen zu autorisieren oder sensible Daten preiszugeben.

Die Grenzen der Zwei-Faktor-Authentifizierung

Die Entstehung hochentwickelter Malware wie Sturnus und KI-gestützter Betrugsmaschen zeigt: Die Sicherheit im Online-Banking ist längst keine Frage mehr, nur ein Passwort zu schützen. Kriminelle konzentrieren sich darauf, gerade jene Sicherheitsebenen zu umgehen, die unbefugten Zugriff verhindern sollen – allen voran die Zwei-Faktor-Authentifizierung (2FA).

„MFA-Fatigue” heißt eine erfolgreiche Technik: Angreifer bombardieren Nutzer mit Push-Benachrichtigungen, bis diese aus Versehen eine genehmigen. Eine andere Methode ist Session-Hijacking – der Diebstahl des Session-Cookies, den eine Website nach erfolgreicher Anmeldung sendet. Damit lässt sich der 2FA-Prozess komplett umgehen.

Der zunehmende Erfolg dieser Umgehungstechniken beweist: Obwohl 2FA eine essenzielle Sicherheitsmaßnahme ist, ist sie kein Allheilmittel. Banken und Sicherheitsanbieter stehen unter permanentem Innovationsdruck.

So schützen Sie sich

Die Bedrohungslandschaft im Online-Banking wird komplexer, da Angreifer KI integrieren und vertrauenswürdige Plattformen effizienter ausnutzen. Finanzinstitute stehen unter Druck, fortschrittliche, KI-gestützte Betrugserkennungssysteme und mehrschichtige Authentifizierungsstrategien einzuführen.

Für Verbraucher ist Wachsamkeit die wichtigste Verteidigung. Am 24. November 2025 erinnerte die Hongkonger Währungsbehörde daran: Banken versenden niemals SMS oder E-Mails mit eingebetteten Links, die zu Transaktionen auffordern oder nach sensiblen Informationen wie Passwörtern fragen.

Sicherheitsexperten empfehlen folgende Schritte:

Prüfen Sie unaufgeforderte Nachrichten kritisch: Seien Sie misstrauisch bei unerwarteten Textnachrichten, E-Mails oder Anrufen, die angeblich von Ihrer Bank stammen – besonders wenn Dringlichkeit suggeriert wird.

Klicken Sie niemals auf Links in verdächtigen Nachrichten: Navigieren Sie direkt zur offiziellen Website Ihrer Bank oder nutzen Sie die offizielle App, statt auf Links in E-Mails oder SMS zu klicken.

Stärken Sie die Gerätesicherheit: Halten Sie Betriebssystem und Apps Ihres Smartphones aktuell. Verzichten Sie auf Root-Zugriff oder Jailbreaks – diese entfernen kritische Schutzfunktionen.

Nutzen Sie robuste Authentifizierung: Bevorzugen Sie phishing-resistente 2FA-Methoden gegenüber SMS-Codes, die anfällig für SIM-Swapping-Angriffe sind.

Überwachen Sie Ihre Konten regelmäßig: Überprüfen Sie häufig Ihren Transaktionsverlauf auf unbefugte Aktivitäten und aktivieren Sie Benachrichtigungen für Kontoänderungen.

PS: Diese 5 Maßnahmen machen Ihr Android spürbar sicherer – viele Leser berichten, dass schon einfache Einstellungen Schutz vor Bankingtrojanern und Wurm-Angriffen über WhatsApp bieten. Der kostenlose Ratgeber zeigt, welche Berechtigungen Sie prüfen, wie Sie phishing-resistente Authentifizierung einrichten und welche Apps Sie meiden sollten. Inklusive Checkliste und leicht verständlicher Schritt-für-Schritt-Anleitung, ideal für alle, die Banking-Apps, WhatsApp oder Telegram nutzen. Jetzt kostenloses Android-Sicherheits-Paket anfordern