Sturnus: Neuer Banking-Trojaner greift verschlüsselte Messenger an

Nur zwei Wochen vor dem Black-Friday-Wochenende schlagen Cybersicherheitsexperten Alarm: Eine neue Generation von Banking-Malware bedroht selbst verschlüsselte Kommunikation. Gleichzeitig verzeichnen Banken einen sprunghaften Anstieg ausgeklügelter Online-Betrugsmaschen.

Die niederländische Sicherheitsfirma ThreatFabric entdeckte am Donnerstag einen hochentwickelten Android-Trojaner namens Sturnus. Anders als herkömmliche Schadsoftware greift er nicht direkt Banking-Apps an – er infiltriert vermeintlich sichere Messenger wie WhatsApp, Telegram und Signal.

Die perfide Methode: Sturnus umgeht die Ende-zu-Ende-Verschlüsselung, indem er Bildschirminhalte abfängt, nachdem diese für den Nutzer entschlüsselt wurden. Faktisch sitzt die Malware dem Anwender direkt über die Schulter.

Passend zum Thema Smartphone-Sicherheit: Viele Android-Nutzer übersehen diese 5 Schutzmaßnahmen, die genau gegen Trojaner wie Sturnus schützen – von App-Quellen prüfen bis zu Berechtigungs-Checks. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie WhatsApp, Telegram & Online-Banking sicher nutzen und ungebetene Zugriffsrechte erkennen. Sofort umsetzbare Anleitungen für Sideloading-Vermeidung und Bedienungshilfen-Kontrolle. Jetzt kostenloses Android-Schutzpaket herunterladen

„Sturnus stellt eine umfassende und hochspezialisierte Bedrohung dar”, warnen die ThreatFabric-Analysten in ihrem Bericht. Aktuell konzentriert sich der Trojaner auf Finanzinstitute in Süd- und Mitteleuropa, doch Experten rechnen mit rascher Ausbreitung.

Die Infektion erfolgt über sogenanntes „Sideloading” – die Installation von Apps außerhalb des offiziellen Google Play Store. Der Trojaner tarnt sich als legitime Anwendung und fordert Zugriffsrechte für „Bedienungshilfen” an. Einmal gewährt, zeichnet er Tastatureingaben auf, stiehlt Zugangsdaten und führt unbemerkt Überweisungen durch.

Entscheidende Schutzmaßnahme: Nutzer sollten ausschließlich Apps aus offiziellen Stores installieren. Besondere Vorsicht gilt bei Berechtigungsanfragen für „Bedienungshilfen” – seriöse Apps benötigen diese Funktion fast nie.

Ghost-Shops jagen Black-Friday-Käufer

Parallel zur Malware-Bedrohung explodiert die Zahl klassischer Betrugsmaschen. Die australische National Bank (NAB) meldete am Mittwoch einen Anstieg um 40 Prozent bei Waren- und Dienstleistungsbetrug über soziale Medien.

Chris Sheehan, Leiter der Betrugsermittlungen bei NAB, warnt vor „Ghost Stores” – täuschend echten Fake-Webseiten bekannter Händler. Diese erscheinen oft ganz oben in Suchergebnissen oder Social-Media-Feeds und locken mit vermeintlich ausverkauften Produkten zu Schnäppchenpreisen.

„Kriminelle fahren ihre Aktivitäten massiv hoch und fluten das Netz mit gefälschten Websites und Posts, um Schnäppchenjäger in die Falle zu locken”, so Sheehan.

Besonders dreist: Die Polizei in Ottawa berichtete am 20. November von der „Bank-Ermittler-Masche”. Betrüger geben sich am Telefon als Sicherheitsmitarbeiter aus, behaupten, das Konto sei kompromittiert, und schicken einen „Kurier” zur „forensischen Untersuchung” der Kreditkarten. Einzelne Opfer verloren durchschnittlich 52.000 Euro (60.000 Dollar).

Drei goldene Regeln zum Schutz

1. Domain-Check: Vor jeder Zahlung die URL genau prüfen – Betrüger arbeiten mit minimalen Tippfehlern wie „Amaz0n.com”. Frisch registrierte Domains (via Whois prüfbar) sind verdächtig.

2. Auflegen und zurückrufen: Bei angeblichen Anrufen der Bank-Sicherheit sofort auflegen und unter der Nummer auf der Rückseite der EC-Karte selbst anrufen. Echte Banken schicken niemals Kuriere zur Kartenabholung.

3. Keine Apps außerhalb offizieller Stores: Sideloading ist der Hauptinfektionsweg für Sturnus und ähnliche Trojaner.

KI belebt alten Scheck-Betrug neu

Während digitale Zahlungen dominieren, erlebt ausgerechnet Scheck-Betrug eine Renaissance – dank Künstlicher Intelligenz. Das Analyseunternehmen Featurespace berichtete am 19. November, dass 77 Prozent der US-Banken Scheck-Betrug für 2025 als Priorität einstufen.

Obwohl die Scheck-Nutzung abnimmt, steigt die Betrugsmenge dramatisch. KI-Tools ermöglichen präzise Fälschungen und das „Waschen” gestohlener Schecks – dabei werden Empfänger und Beträge chemisch entfernt und neu eingetragen.

Gegenmaßnahme: Wer noch Schecks nutzt, sollte auf Online-Banking-Überweisungen umsteigen. Falls unvermeidbar, einen Gel-Stift mit dokumentenechter schwarzer Tinte verwenden – diese lässt sich deutlich schwerer manipulieren.

Hybride Angriffstaktiken

Die zeitgleiche Entdeckung von Sturnus und der Shopping-Betrugswell illustriert einen Strategiewechsel der Cyberkriminellen: Statt sich auf technische Schwachstellen zu konzentrieren, kombinieren sie fortgeschrittene Malware mit psychologischer Manipulation und Social Engineering.

„Wir erleben ein ‘Honigtopf-Problem’ – der vertrauensselige Nutzer selbst wird zur Schwachstelle”, analysieren Sicherheitsexperten. Die rasche Anpassung der Schadsoftware an vermeintlich sichere Apps wie Signal zeigt: Das Konzept absolut sicherer Kommunikationskanäle erodiert bei kompromittierten Geräten.

Auch regulatorisch tut sich etwas. Das kürzlich vom Bundestag verabschiedete NIS-2-Umsetzungsgesetz verpflichtet Institutionen, Sicherheitsvorfälle binnen 24 Stunden zu melden. Das Ziel: ein reaktionsschnelleres Ökosystem. Doch der Endnutzer bleibt die erste Verteidigungslinie.

Was 2026 bringt

Experten prognostizieren, dass biometrische Authentifizierung (Gesichts- und Fingerabdruckscans) bei hohen Transaktionsbeträgen zur Pflicht wird. Einfache Zwei-Faktor-Codes gelten zunehmend als anfällig für Abfangmanöver durch Malware wie Sturnus.

Kurzfristig erwarten Verbraucherschützer eine Flut von Phishing-SMS rund um Paketlieferungen in den kommenden drei Wochen. Nachrichten über angebliche „Lieferprobleme” oder „unbezahlte Zollgebühren” nutzen dieselbe Infrastruktur wie die von NAB identifizierten Ghost-Shops. Banken arbeiten zwar an erweiterten „Zahlungsempfänger-Bestätigungssystemen” gegen Überweisungsbetrug – doch deren flächendeckende Einführung wird dauern.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer — Tipp 3 schließt eine häufig unterschätzte Lücke, die Banking-Trojaner ausnutzen. Der gratis-Ratgeber zeigt, wie Sie App-Quellen prüfen, Berechtigungen richtig setzen und automatische Updates konfigurieren. Ideal vor dem Black-Friday-Shopping: schützen Sie Ihre Zahlungs-Apps und Messenger in wenigen Minuten. Jetzt Android-Schutzpaket anfordern