Sturnus-Trojaner liest verschlüsselte Chats aus

Eine neue Generation von Banking-Trojanern bedroht Android-Nutzer. Die Malware “Sturnus” umgeht die Ende-zu-Ende-Verschlüsselung von WhatsApp, Signal und Telegram – und das BSI warnt zeitgleich vor kritischen Schwachstellen in Apple-Geräten.

Die Sicherheitslage für Smartphone-Nutzer spitzt sich zu. Kurz vor der Online-Shopping-Saison schlagen Sicherheitsexperten Alarm: Der neu entdeckte Android-Trojaner “Sturnus” kann selbst verschlüsselte Messenger-Inhalte auslesen. Gleichzeitig aktualisiert das BSI seine Warnungen für iOS und iPadOS. Die Grenzen zwischen klassischer Malware und hochkomplexer Spionagesoftware verschwimmen.

Sicherheitsforscher von MTI Security und Threatfabric haben Details zur Malware-Familie “Sturnus” veröffentlicht. Der Trojaner nutzt einen perfiden Trick: Statt die Verschlüsselung zu knacken, missbraucht er die “Accessibility Services” von Android. Sobald Nutzer eine Nachricht im Klartext auf dem Bildschirm sehen, liest die Malware mit.

Viele Android-Nutzer übersehen diese 5 wichtigen Schutzmaßnahmen – eine Lücke, die Banking-Trojaner wie “Sturnus” gezielt ausnutzen. Das kostenlose Sicherheitspaket erklärt Schritt für Schritt, wie Sie Bedienungshilfen prüfen, App‑Berechtigungen einschränken, APK-Risiken vermeiden und den Private Space einrichten. Zusätzlich gibt es klare Anleitungen für Passkeys und sichere Einstellungen bei Messaging-Apps, damit Kriminelle weder Chats noch Bankvorgänge kapern können. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Die Angreifer erhalten Zugriff auf:
* Entschlüsselte Chat-Verläufe in WhatsApp, Signal und Telegram
* Kontaktlisten
* Zwei-Faktor-Authentifizierungscodes

Klassische Banking-Angriffe inklusive: Zusätzlich legt “Sturnus” täuschend echte Fenster über legitime Bank-Apps, um Login-Daten abzufischen. Per VNC-Fernsteuerung können Kriminelle Transaktionen im Hintergrund ausführen, während der Bildschirm abgedunkelt bleibt.

BSI warnt vor iOS-Schwachstelle

Apple-Nutzer müssen ebenfalls aufpassen. Das BSI hat seine Sicherheitswarnungen für iOS und iPadOS aktualisiert. Im Fokus steht die Schwachstelle CVE-2025-43300 mit einem CVSS-Score von 8,8 – Einstufung: hoch.

Die Verwundbarkeit ermöglicht es Angreifern, Schadcode auszuführen oder Sicherheitsmechanismen zu umgehen. Das BSI rät dringend zur Installation der neuesten Updates für iOS 18 und iPadOS 18. Nutzer sollten unter Allgemein > Softwareupdate prüfen, ob ihre Geräte aktuell sind.

WhatsApp-Metadaten von 3,5 Milliarden Konten abgreifbar

Forscher der Universität Wien und SBA Research entdeckten eine gravierende Schwachstelle im Kontakt-Erkennungsmechanismus von WhatsApp. Die gute Nachricht: Chat-Inhalte blieben verschlüsselt. Die schlechte: Metadaten von rund 3,5 Milliarden Konten weltweit waren abfragbar.

Betroffen sind:
* Telefonnummern
* Profilbilder
* “Info”-Texte
* Online-Status-Informationen

Diese Daten eignen sich perfekt für gezielte Phishing-Angriffe. Kriminelle können täuschend echte Betrugsnachrichten erstellen, die Nutzer namentlich ansprechen und Bezug auf deren Profilinformationen nehmen.

So schützen Sie sich jetzt

Bedienungshilfen prüfen (Android): Gehen Sie zu Einstellungen > Bedienungshilfen und kontrollieren Sie, welche Apps hier Zugriff haben. Unbekannte Apps oder solche ohne plausiblen Grund sollten sofort die Berechtigung verlieren.

Private Bereiche nutzen: Android 15 bietet den “Private Space” für isolierte, authentifizierungspflichtige Apps. iOS 18 ermöglicht das Sperren einzelner Apps via Face ID – langes Drücken auf das App-Icon, dann “Face ID anfordern” auswählen.

Passkeys aktivieren: Die kryptografischen Schlüssel sind resistent gegen Phishing. Aktivieren Sie Passkeys bei Amazon, PayPal, Google und anderen Diensten, wo immer möglich.

Keine APK-Dateien installieren: Die meisten Infektionen erfolgen über Apps außerhalb des Google Play Store. Installieren Sie keine APK-Dateien aus Links in SMS oder E-Mails.

Verschlüsselung allein reicht nicht mehr

Die aktuelle Welle markiert einen Wandel in der Cyberkriminalität. Hochspezialisierte Angriffe ersetzen Massen-Malware. KI-gestützte Betrugsmaschen und Metadaten-Missbrauch nehmen zu.

Die Nutzung von Barrierefreiheitsdiensten zum Umgehen von Verschlüsselung zeigt: Technische Verschlüsselung ist kein Allheilmittel. Die Sicherheit verlagert sich vom Transportweg zum Endpunkt. Ist das Gerät kompromittiert, hilft auch die beste Verschlüsselung nicht.

“Live Threat Detection” von Google in Android 15 weist den Weg: Eine KI analysiert live auf dem Handy, ob sich Apps verdächtig verhalten. Apple dürfte ähnliche verhaltensbasierte Analysen ausbauen. Bis dahin bleibt der Mensch die wichtigste Firewall – mit gesundem Misstrauen und konsequenten Updates.

PS: Diese 5 Schutzmaßnahmen könnten Ihr letzter Schritt gegen Messenger‑Spionage sein. Der Gratis-Ratgeber fasst kompakt zusammen, wie Live Threat Detection, App‑Berechtigungen und Passkeys zusammenwirken, um Angriffe wie das Auslesen von WhatsApp‑ oder Telegram‑Chats zu verhindern. Enthalten sind sofort umsetzbare Checklisten für Online‑Banking und Shopping sowie einfache Anleitungen, die jeder Android‑Nutzer ohne Zusatz‑Apps anwenden kann. Jetzt Sicherheitscheck für Ihr Android anfordern