Sturnus-Trojaner hebelt WhatsApp-Verschlüsselung aus

Eine neue Android-Malware kombiniert Banking-Betrug mit Messenger-Spionage. Der Trojaner “Sturnus” umgeht die Ende-zu-Ende-Verschlüsselung von WhatsApp, Signal und Telegram – und die Angriffe laufen bereits.

Sicherheitsforscher von ThreatFabric schlagen Alarm: Die gestern analysierte Malware markiert eine neue Evolutionsstufe mobiler Bedrohungen. Anders als klassische Banking-Trojaner stiehlt Sturnus nicht nur Kontodaten, sondern späht gleichzeitig private Chats aus. Ziel sind aktuell Bankkunden in Süd- und Mitteleuropa.

Sturnus knackt keine Verschlüsselung – die Malware liest einfach mit. Der Trojaner missbraucht die Android Accessibility Services, die eigentlich Menschen mit Behinderungen helfen sollen. Mit diesen Rechten kopiert die Schadsoftware jeden Bildschirminhalt in Echtzeit.

Passend zum Thema Schutz für Android-Smartphones: Viele Nutzer übersehen grundlegende Sicherheitsmaßnahmen – und genau solche Lücken nutzt Sturnus. Das kostenlose Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Android-Geräte, inklusive konkreter Hinweise zu Bedienungshilfen, Sideloading-Risiken und Play Protect. Mit leicht verständlichen Schritt-für-Schritt-Anleitungen sichern Sie WhatsApp, Banking-Apps und Ihre persönlichen Daten zuverlässig. Der Report wird gratis per E‑Mail zugestellt und richtet sich an Alltagsnutzer – ganz ohne zusätzliche Sicherheits-Apps. Jetzt Android-Schutzpaket herunterladen

Das passiert konkret:

• Nutzer öffnet WhatsApp oder Signal
• Sturnus liest die bereits entschlüsselte Nachricht vom Display
• Kontakte, Chatverläufe und Nachrichten landen bei den Angreifern

Die mathematische Sicherheit der Ende-zu-Ende-Verschlüsselung wird damit irrelevant. Die Daten werden direkt an der Quelle abgegriffen – auf dem Display des Opfers.

Banking-Betrug mit unsichtbaren Überweisungen

Neben der Spionage greift Sturnus Bankkonten an. Die Methoden sind ausgeklügelt:

HTML-Overlays: Beim Öffnen der Banking-App legt die Malware blitzschnell eine gefälschte Anmeldeseite darüber. Eingegebene Zugangsdaten landen direkt bei den Kriminellen.

VNC-Fernsteuerung: Die Angreifer steuern das Smartphone komplett aus der Ferne. Besonders perfide ist die “Black Screen”-Funktion: Ein schwarzes Overlay lässt das Gerät ausgeschaltet wirken, während im Hintergrund Überweisungen durchgeführt werden. Das Opfer sitzt ahnungslos vor dem scheinbar inaktiven Display.

Verbreitung über gefälschte Apps

Sturnus verbreitet sich nicht über den Google Play Store, sondern über sogenanntes Sideloading. Die Forscher identifizierten Apps wie “Preemix Box” oder gefälschte Chrome-Browser als Träger.

Typische Infektionswege:

• SMS von angeblichen Paketdiensten mit App-Download-Links
• Bösartige Werbeanzeigen auf dubiosen Webseiten
• Gefälschte Sicherheits-Updates

Nach der Installation fordert die App aggressiv die Aktivierung der Bedienungshilfen. Einmal erteilt, verhindert Sturnus aktiv die Deinstallation oder das Entziehen der Rechte.

Eine neue Generation hybrider Malware

Der Name “Sturnus” (lateinisch für Star) bezieht sich auf die vielseitige Tarnung der Kommunikation mit Steuerungsservern. Die Malware nutzt verschiedene Verschlüsselungsprotokolle, um Sicherheitssoftware zu täuschen.

Banking-Trojaner entwickeln sich zu hybriden Werkzeugen. Während ältere Varianten wie Cerberus primär Finanzdaten stahlen, zeigt Sturnus: Chat-Inhalte und Kontakte sind für Erpressung oder Identitätsdiebstahl mittlerweile genauso wertvoll.

Was Nutzer jetzt tun müssen

ThreatFabric stuft Sturnus als Malware in der Testphase ein. Die Integration spezifischer Vorlagen für europäische Banken deutet auf eine geplante Großoffensive hin.

Drei wichtigste Schutzmaßnahmen:

• Nur Play Store nutzen: Installieren Sie Apps ausschließlich aus offiziellen Quellen
• Berechtigungen prüfen: Bedienungshilfen-Zugriff ist bei Browsern oder Videoplayern fast immer ein Malware-Indikator
• Play Protect aktivieren: Googles Schutzmechanismus blockiert bekannte Varianten

Die Sicherheitsbranche erwartet, dass Google seine Erkennungsalgorithmen in den nächsten Tagen anpasst. Der effektivste Schutz bleibt jedoch: Keine Apps aus unbekannten Quellen installieren.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – und Tipp 3 schließt eine häufig unterschätzte Lücke. Das kostenlose Sicherheitspaket liefert eine praktische Checkliste, zeigt, wie Sie Bedienungshilfen prüfen, gefälschte Apps erkennen und Banking-Apps absichern. Holen Sie sich die Schritt-für-Schritt-Anleitung bequem per E‑Mail und prüfen Sie Ihr Gerät in wenigen Minuten. Gratis Android-Schutzpaket anfordern