Sturnus-Trojaner: Banking-Malware hebelt WhatsApp und Telegram aus

Eine neue Generation von Banking-Trojanern bedroht aktuell Millionen Android-Nutzer in Deutschland. Gleichzeitig rollen gefälschte Bankbriefe mit QR-Codes durch die Briefkästen – eine perfide Doppelstrategie kurz vor Weihnachten.

Sicherheitsforscher von ThreatFabric schlugen am 20. November 2025 Alarm: Der neu entdeckte Trojaner “Sturnus” markiert eine gefährliche Zäsur in der Smartphone-Kriminalität. Anders als seine Vorgänger handelt es sich nicht um eine modifizierte Version alter Schadsoftware wie Cerberus oder Hydra, sondern um eine komplette Neuentwicklung. Das macht ihn für herkömmliche Virenscanner schwerer erkennbar.

Was Sturnus so gefährlich macht: Die Malware greift direkt verschlüsselte Messenger-Inhalte ab. WhatsApp, Signal und Telegram – alle drei gelten als besonders sichere Kommunikationskanäle – werden von der Schadsoftware ausgelesen. Der Trick? Sturnus bricht nicht die Verschlüsselung, sondern nutzt die “Accessibility Services” von Android, um den Text direkt vom Display zu kopieren, sobald der Nutzer die Nachricht öffnet.

Die Angriffsmethode ist ausgeklügelt: Getarnt als harmloses Update oder nützliche App nistet sich Sturnus unbemerkt ein. Sobald installiert, legt die Malware gefälschte Login-Masken über echte Banking-Apps. Gibt der Nutzer seine Zugangsdaten ein, landen diese direkt bei den Kriminellen. Über moderne WebSockets können die Angreifer das Smartphone in Echtzeit fernsteuern.

Viele Android‑Nutzer unterschätzen genau die Schwachstellen, die Banking‑Trojaner wie Sturnus ausnutzen. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ erklärt praxisnah und Schritt für Schritt, wie Sie Accessibility‑Angriffe erkennen, App‑Berechtigungen richtig setzen, sichere QR‑Code‑Gewohnheiten etablieren und Banking‑ sowie Messenger‑Apps absichern. Inklusive Checklisten und einfachen Anleitungen, die Sie sofort umsetzen können. Jetzt Android‑Schutzpaket herunterladen

Hauptziele: Finanzinstitute in Süd- und Zentraleuropa, darunter zahlreiche deutsche Banken.

“Quishing”: Der Betrug aus dem Briefkasten

Parallel zur digitalen Offensive setzen Kriminelle auf eine raffinierte Offline-Methode. “Quishing” – eine Mischung aus QR-Code und Phishing – nutzt das hohe Vertrauen in die deutsche Briefpost aus. Verbraucherschützer und Banken melden für November 2025 eine deutliche Zunahme solcher Fälle.

Die gefälschten Schreiben wirken täuschend echt: Logos der Deutschen Bank, Sparkassen oder Volksbanken, korrekte Anschriften, seriöse Formulierungen. Der Inhalt folgt einem Muster: Angeblich läuft ein Sicherheitsverfahren ab oder eine “dringende Konto-Aktualisierung” sei notwendig. Der Ausweg? Ein prominent platzierter QR-Code.

Wer diesen scannt, landet nicht auf der Bankseite, sondern auf einer für Smartphones optimierten Phishing-Seite. Die psychologische Wirkung ist enorm: Ein Brief im eigenen Briefkasten senkt die Hemmschwelle deutlich stärker als eine E-Mail. Die Deutsche Bank stellte klar: Banken fordern niemals per Brief zu Sicherheitsupdates via QR-Code auf.

Aktuelle Phishing-Welle erfasst alle großen Institute

Die Verbraucherzentrale meldet im Phishing-Radar dieser Woche hohe Aktivität bei klassischen Betrugsmaschen:

• Barclays: E-Mails fordern zur “Reaktivierung der mTAN-Sicherheitsfunktion” auf
• Deutsche Bank: Massenhafte Nachrichten mit “Bestätigen Sie Ihre Telefonnummer”
• Sparkasse: Gefälschte Mails über “Aktualisierung des S-ID-Checks”
• ING & Commerzbank: Angebliche “neue Sicherheitsstandards” oder ablaufende PhotoTAN-Apps

Der Zeitpunkt ist kein Zufall. Die beginnende Cyber Week und das Weihnachtsgeschäft treiben die Transaktionsdichte nach oben. Ungewöhnliche Aufforderungen fallen in der Hektik weniger schnell als Betrug auf.

Profis am Werk: Warum die Bedrohung jetzt eskaliert

Die Kombination aus Sturnus und Quishing offenbart eine gefährliche Professionalisierung. Während Malware-Entwickler technisch aufrüsten und sogar Zwei-Faktor-Authentifizierung in Echtzeit aushebeln, diversifizieren andere Gruppen in die physische Welt.

Der Erfolg des Brief-Quishings liegt in der Umgehung digitaler Filter. Eine E-Mail mit bösartigem Link wird oft aussortiert – ein Brief landet ungefiltert auf dem Küchentisch. Die höheren Kosten für Porto rechtfertigen sich durch deutlich bessere Erfolgsquoten, besonders bei älteren oder weniger technikaffinen Zielgruppen.

Technische Schutzmaßnahmen in Banking-Apps greifen nicht, wenn Kunden freiwillig ihre Daten auf Phishing-Seiten eingeben, die sie über einen Brief geöffnet haben.

So schützen Sie sich

Die Sicherheitslage bleibt in den kommenden Monaten angespannt. ThreatFabric rechnet mit Weiterentwicklungen von Sturnus – die Malware befindet sich noch in einer Ausbauphase.

Diese Regeln schützen:

• QR-Codes ignorieren: Scannen Sie niemals QR-Codes aus Briefen oder E-Mails von angeblichen Banken. Loggen Sie sich stattdessen manuell über die offizielle App oder ein Lesezeichen ein
• Apps nur aus offiziellen Quellen: Installieren Sie keine Apps über Links aus Nachrichten. Auch im Play Store: Achten Sie auf Bewertungen und Herausgeber
• Bedienungshilfen-Warnung: Fordert eine App Zugriff auf “Accessibility Services”, ist höchste Vorsicht geboten – außer bei speziellen Tools für Menschen mit Behinderung
• Phishing-Radar nutzen: Checken Sie den aktuellen Radar der Verbraucherzentrale, um Betrugswellen zu erkennen

Der Faktor Mensch bleibt das primäre Angriffsziel – besonders im hektischen Weihnachtsgeschäft.

PS: Diese fünf Maßnahmen schützen Ihr Android wirkungsvoll gegen Datendiebstahl, Phishing‑Links und gefälschte Banking‑Login‑Masken. Der Gratis‑Ratgeber zeigt unter anderem einen einfachen QR‑Scan‑Check, sichere Einstellungen für Bedienungshilfen und konkrete Regeln für sicheres Messaging – ideal für alle, die WhatsApp, Signal oder Telegram und Online‑Banking nutzen. Sofort anwendbare Tipps und eine praktische Checkliste helfen, Anfängerfehler zu vermeiden. Gratis‑Sicherheitspaket jetzt anfordern