Sturnus-Trojaner: Android-Malware liest WhatsApp und Signal mit

Ein neuer Banking-Trojaner hebelt Ende-zu-Ende-Verschlüsselung aus. Sicherheitsforscher haben eine hochkomplexe Malware entdeckt, die verschlüsselte Messenger-Nachrichten auf Android-Geräten in Echtzeit mitliest – und dabei cleverer vorgeht als alle bisherigen Schädlinge.

Der nach dem lateinischen Namen des Stars benannte Trojaner Sturnus greift derzeit gezielt Bankkunden in Süd- und Zentraleuropa an. Besonders perfide: Die Malware knackt keine Verschlüsselung, sondern schaut den Nutzern beim Lesen über die Schulter.

Wie umgeht Sturnus die eigentlich sichere Ende-zu-Ende-Verschlüsselung von WhatsApp, Signal und Telegram? Die Sicherheitsfirma ThreatFabric deckte die Methode auf: Der Trojaner missbraucht Android-Bedienungshilfen, die eigentlich Menschen mit Behinderungen unterstützen sollen.

Sobald ein Nutzer eine Messenger-App öffnet, liest die Malware den Bildschirminhalt direkt aus. Sie wartet einfach, bis die App die Nachricht ordnungsgemäß entschlüsselt und anzeigt – dann greift sie zu. Chat-Verläufe, Kontakte und alle sichtbaren Inhalte landen direkt auf den Servern der Kriminellen.

Passend zum Thema Android-Schutz – viele Nutzer kennen nicht die fünf einfachen Maßnahmen, die gerade vor Banking-Trojanern wie Sturnus schützen. Das kostenlose Sicherheitspaket erklärt Schritt für Schritt, welche Einstellungen Sie sofort prüfen sollten (z. B. Bedienungshilfen-Berechtigungen, sichere App-Quellen, Updates) und wie Sie WhatsApp sowie Mobile-Banking effektiv absichern. Inklusive praxisnaher Checkliste und E‑Mail-Anleitung. Gratis-Sicherheitspaket für Android herunterladen

Die stärkste Verschlüsselung nützt nichts, wenn der Angreifer digital auf das Display schaut.

Totale Geräteübernahme

Doch Sturnus beschränkt sich nicht aufs Mitlesen. Als vollwertiger Banking-Trojaner legt er gefälschte Anmeldefenster über echte Banking-Apps. Nutzer geben ihre Zugangsdaten unwissentlich direkt an die Angreifer weiter.

Noch gefährlicher: Die Malware ermöglicht komplette Fernsteuerung des Smartphones via VNC-Verbindung. Die Kriminellen können das Gerät bedienen, als hielten sie es selbst in der Hand. Besonders perfide – während betrügerische Transaktionen laufen, schalten die Angreifer den Bildschirm schwarz. Das Opfer glaubt, das Handy sei abgestürzt.

Tarnung als System-Update

Sturnus verbreitet sich über manipulierte Apps, die sich als Browser-Updates oder System-Tools ausgeben. Wer etwa ein vermeintliches Google-Chrome-Update aus unbekannter Quelle installiert, holt sich möglicherweise den Trojaner aufs Gerät.

Die Kommunikation mit den Befehlsservern verschleiert die Malware durch eine Mischung aus verschiedenen Protokollen und Verschlüsselungsmethoden – von Klartext über AES bis RSA. Das erschwert die Analyse durch Sicherheitsforscher erheblich.

Aktuelle Angriffsziele:
* Bankkunden in Süd- und Zentraleuropa
* Nutzer verschlüsselter Messenger (WhatsApp, Signal, Telegram)
* Android-Geräte mit aktivierten Bedienungshilfen

Warum klassische Virenscanner versagen

Sturnus nutzt keine Sicherheitslücken im klassischen Sinn. Stattdessen missbraucht er legitime Systemfunktionen, die der Nutzer selbst genehmigt. Wer einer App weitreichende Berechtigungen für Bedienungshilfen erteilt, öffnet dem Trojaner alle Türen.

Die Malware zeigt zudem erschreckende Raffinesse: Versucht ein Nutzer, ihr die Rechte zu entziehen, schließt Sturnus automatisch die Einstellungsmenüs. Deinstallationsversuche werden aktiv blockiert.

Nur die Generalprobe?

Sicherheitsexperten vermuten, dass die derzeitigen Angriffe lediglich Testläufe sind. Die Kampagnen wirken noch sporadisch, die technische Reife der Malware ist jedoch bereits beeindruckend. Vermutlich optimieren die Entwickler noch ihre Infrastruktur und testen Erkennungsraten.

Für die kommenden Monate wird eine deutliche Ausweitung der Angriffe erwartet. Die gefälschten Bank-Logins sind bereits hochspezifisch auf europäische Finanzinstitute zugeschnitten – ein Hinweis auf professionelle, gut finanzierte Hintermänner.

So schützen Sie sich

Installieren Sie Apps nur aus dem offiziellen Play Store. Vermeiden Sie Sideloading aus unbekannten Quellen grundsätzlich. Gewähren Sie Bedienungshilfen-Berechtigungen nur Apps, bei denen diese Funktion absolut notwendig und nachvollziehbar ist.

Kein Browser oder System-Tool benötigt normalerweise Zugriff auf Bedienungshilfen. Fordert eine App diese Berechtigung, sollten sämtliche Alarmglocken läuten.

PS: Diese fünf Schutzmaßnahmen machen Ihr Android spürbar sicherer gegen Mitleser und Fernsteuerung. Der kostenlose Ratgeber zeigt unter anderem, warum Bedienungshilfen ein Risiko darstellen, welche Berechtigungen Sie sofort prüfen sollten und wie Sie Sideloading, gefälschte Updates und VNC‑Zugriffe zuverlässig verhindern. Ideal für alle, die Mobile‑Banking und Messenger sicher nutzen möchten. Jetzt Android-Schutzpaket anfordern