Sturnus: Neuer Android-Trojaner knackt WhatsApp und Signal

Ein hochentwickelter Trojaner umgeht erstmals die Ende-zu-Ende-Verschlüsselung beliebter Messenger-Apps – nicht durch Codeknacken, sondern durch einen verblüffend simplen Trick.

Die niederländische Sicherheitsfirma ThreatFabric hat gestern einen Banking-Trojaner namens “Sturnus” entdeckt, der private Nachrichten aus WhatsApp, Telegram und Signal auslesen kann. Die Besonderheit: Die Schadsoftware greift nicht die Verschlüsselung an, sondern liest direkt vom Bildschirm ab. Was nutzt die sicherste Verschlüsselung, wenn der Angreifer dem Nutzer über die Schulter schaut?

Sturnus nutzt die sogenannten Bedienungshilfen von Android – eigentlich für Menschen mit Behinderungen gedacht. Mit diesen Rechten kann die Malware alles mitlesen, was auf dem Display erscheint: Kontakte, komplette Chat-Verläufe, ein- und ausgehende Nachrichten. Und zwar in Echtzeit.

“Die Malware protokolliert über die Accessibility Services, nicht über Netzwerk-Abfänge”, erklären die ThreatFabric-Forscher in ihrer Analyse. Anders als ältere Spionage-Software, die verschlüsselte Datenströme abfangen wollte, wartet Sturnus einfach, bis der Nutzer selbst seine Nachrichten entschlüsselt – zum Lesen. Die Schadsoftware springt gezielt an, sobald eine Messenger-App im Vordergrund läuft.

Viele Android-Nutzer unterschätzen, wie leicht hochentwickelte Banking-Trojaner wie Sturnus sensible Apps ausspionieren können. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone – mit verständlichen Schritt-für-Schritt-Anleitungen zu sicheren App-Quellen, dem richtigen Umgang mit Bedienungshilfen-Berechtigungen, Play Protect-Checks und regelmäßigen Updates. Ideal, wenn Sie WhatsApp, Telegram oder Mobile-Banking nutzen und Ihre Konten schützen wollen. Jetzt kostenloses Android-Sicherheits-Paket anfordern

Mehr als nur ein Chat-Spion

Doch das Mitlesen von Nachrichten ist nur Nebensache. Im Kern handelt es sich bei Sturnus um einen Banking-Trojaner, entwickelt für Finanzbetrug. Die Software kann gefälschte Login-Masken über echte Banking-Apps legen. Gibt das Opfer seine Zugangsdaten ein, landen diese direkt bei den Angreifern.

Noch gefährlicher: Sturnus ermöglicht Kriminellen die vollständige Fernsteuerung infizierter Geräte. Per Virtual Network Computing (VNC) können Angreifer den Bildschirm sehen und bedienen – als säßen sie selbst vor dem Smartphone. Überweisungen tätigen, Sicherheitseinstellungen ändern, alles ohne Wissen des Besitzers möglich.

Was kann der Trojaner konkret?

Die am Donnerstag veröffentlichte Analyse listet folgende Fähigkeiten auf:

• Keylogging: Jeder Tastendruck wird aufgezeichnet, Passwörter und PINs inklusive
• Fernzugriff: Wischen, Tippen und Klicken aus der Ferne
• Unverwüstlichkeit: Die Malware missbraucht Administrator-Rechte und leitet Nutzer von den Einstellungen weg, wenn sie versuchen, die App zu löschen

Südeuropa im Visier

ThreatFabric vermutet, dass sich Sturnus noch in einer “Entwicklungs- oder Testphase” befindet. Trotzdem ist die Malware bereits voll funktionsfähig und gefährlich. Die Forscher entdeckten maßgeschneiderte Fake-Oberflächen für Banken in Süd- und Mitteleuropa – ein Hinweis auf geplante Angriffswellen in diesen Regionen.

Verbreitet wird der Trojaner über manipulierte APK-Dateien, getarnt als legitime Apps. Ein beliebter Trick: Gefälschte Chrome-Updates oder Utility-Tools wie “Preemix Box”. Nach der Installation fordert die Schadsoftware aggressiv Zugriff auf die Bedienungshilfen – und arglose Nutzer gewähren diesen oft, ohne zu ahnen, welche Kontrolle sie damit abgeben.

Neue Dimension der Bedrohung

Sturnus markiert einen Paradigmenwechsel in der Cyberkriminalität: Statt Software-Schwachstellen auszunutzen, missbrauchen Angreifer das Vertrauen der Nutzer und legitime Systemfunktionen. Die Bedienungshilfen sind ein notwendiger Bestandteil von Android – ihre Ausnutzung erfordert keine aufwendigen “Zero-Day”-Exploits.

“Sturnus stellt eine hochentwickelte und umfassende Bedrohung dar”, so ThreatFabric. Der Name stammt übrigens vom Europäischen Star (Sturnus vulgaris) – passend zu den vielfältigen Kommunikationsmustern des Trojaners. Die Malware nutzt eine Mischung aus AES- und RSA-Verschlüsselung sowie HTTP und WebSocket, um Sicherheitssoftware zu täuschen.

Nach “Herodotus” und “Crocodilus” ist Sturnus der dritte hochentwickelte Android-Trojaner, der Ende 2025 entdeckt wurde. Die gezielte Fokussierung auf Ende-zu-Ende-verschlüsselte Messenger markiert jedoch eine neue Eskalationsstufe bei Datenschutzbedrohungen.

So schützen Sie sich

Sicherheitsexperten warnen: Die derzeitige Kampagne mag begrenzt sein, doch die Architektur von Sturnus ist “bereit zur Skalierung”. Sobald die Entwickler ihren Code verfeinern, könnten auch Nutzer außerhalb Europas ins Visier geraten.

Diese Maßnahmen bieten Schutz:

• Nur offizielle Quellen: Apps ausschließlich über den Google Play Store installieren, wo Play Protect auf Schadsoftware prüft
• Berechtigungen hinterfragen: Äußerste Vorsicht bei Apps, die Zugriff auf Bedienungshilfen fordern – außer es gibt einen klaren, verifizierbaren Grund
• Regelmäßig updaten: Android-Betriebssystem und Sicherheitspatches auf dem neuesten Stand halten

Google hat sich bislang nicht speziell zu Sturnus geäußert. Die Standard-Abwehrmechanismen von Play Protect dürften jedoch bald aktualisiert werden, um bekannte Varianten der Malware zu erkennen.

PS: Sie nutzen Messenger oder Mobile-Banking? Holen Sie sich den kostenlosen Ratgeber mit einer praxisnahen Checkliste, wie Sie Berechtigungen prüfen, manipulierte APKs erkennen und Fernzugriff verhindern. Das Android-Sicherheits-Paket bietet leicht umsetzbare Schritte, Praxis-Checks für Play Protect und eine verständliche Schritt-für-Schritt-Checkliste – ideal auch für weniger technikaffine Nutzer. Gratis Android-Sicherheits-Paket hier anfordern