Sturnus, Trojaner

Sturnus: Trojaner liest WhatsApp und Signal in Echtzeit mit

26.11.2025 - 15:59:12

Sturnus: Trojaner liest WhatsApp und Signal in Echtzeit mit - Foto: über boerse-global.de
Sturnus: Trojaner liest WhatsApp und Signal in Echtzeit mit - Foto: über boerse-global.de

Ein hochentwickelter Banking-Trojaner hebelt die Ende-zu-Ende-Verschlüsselung beliebter Messenger-Apps aus. Sturnus breitet sich in Mittel- und Südeuropa aus und bedroht Millionen Android-Nutzer.

Sicherheitsforscher von MTI Security und ThreatFabric schlagen Alarm: Die neue Malware räumt nicht nur Bankkonten leer, sondern liest verschlüsselte Nachrichten direkt vom Bildschirm ab. Das Perfide dabei? Der Trojaner greift nicht die Übertragung an, sondern nistet sich im Herzen des Betriebssystems ein.

Sturnus markiert einen beunruhigenden Evolutionssprung. Die Malware missbraucht die Android Accessibility Services – Bedienungshilfen für Menschen mit Behinderungen. Einmal freigeschaltet, übernimmt der Trojaner die Kontrolle.

“Sobald der Nutzer die geforderten Rechte freigibt, übernimmt Sturnus effektiv die Kontrolle”, erklären die Analysten von MTI Security. Die Malware protokolliert jeden Tastendruck, erfasst Bildschirminhalte und führt selbstständig Klicks aus.

Anzeige

Passend zum Thema Smartphone-Sicherheit: Viele Android-Nutzer wissen nicht, wie Angriffe über Bedienungshilfen funktionieren und wie man Berechtigungen sicher einschränkt. Unser gratis Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen Schritt für Schritt — von geprüften App-Quellen über die Kontrolle der Accessibility-Einstellungen bis zu Play-Protect-Checks. Schützen Sie WhatsApp, Banking-Apps und Ihre Konten jetzt praktisch und sofort. Die Anleitung ist leicht umsetzbar und richtet sich an alle Android-Nutzer. Jetzt kostenloses Android-Sicherheitspaket anfordern

Die Tarnung ist perfide: Sturnus verbreitet sich über gefälschte Updates legitimer Apps oder getarnte System-Tools. Ist die Infektion erfolgt, wartet der Trojaner im Hintergrund auf den perfekten Moment.

Verschlüsselung nutzlos: WhatsApp, Signal und Telegram im Visier

Der alarmierendste Aspekt: Sturnus hebelt die starke Ende-zu-Ende-Verschlüsselung von WhatsApp, Telegram und Signal komplett aus. Wie geht das?

Die Malware nutzt “Reading over the shoulder” – das digitale Über-die-Schulter-Lesen. Da die Accessibility Services den Bildschirminhalt interpretieren, liest Sturnus Nachrichten genau dann mit, wenn sie entschlüsselt auf dem Display erscheinen.

Der Trojaner überwacht aktiv, welche App läuft. Öffnet das Opfer einen Messenger, protokolliert Sturnus:

  • Kontaktlisten
  • Komplette Chatverläufe
  • Neu eingehende Nachrichten in Echtzeit

Diese Daten wandern direkt an die Command-and-Control-Server der Angreifer. Selbst die sicherste Verschlüsselung ist nutzlos, wenn der Feind bereits auf dem Gerät sitzt.

Verdunkelte Bildschirme: Fernsteuerung während Transaktionen

Neben Spionage verfügt Sturnus über ein Arsenal für direkten Kontodiebstahl. Overlay-Angriffe legen gefälschte Anmeldefenster passgenau über Banking-Apps. Zugangsdaten landen direkt bei den Kriminellen.

Noch gefährlicher: Die vollständige Fernsteuerung. Angreifer schalten sich live auf das Gerät und führen Transaktionen selbst durch. Damit das Opfer nichts bemerkt, nutzt Sturnus die “Block Overlay”-Technik.

Der Bildschirm wird künstlich verdunkelt oder gesperrt – als wäre das Gerät im Standby oder würde ein Update durchführen. Im Hintergrund räumen die Täter die Konten leer.

Die Malware sichert sich aggressiv gegen Löschversuche ab. Versucht der Nutzer, Berechtigungen zu entziehen, schließt Sturnus das Einstellungsmenü automatisch – noch bevor der Finger den Bildschirm berührt.

Professionelle Cyberkriminalität: Der neue Standard

Sturnus bestätigt einen besorgniserregenden Trend: Der Übergang von passivem Phishing zu aktivem On-Device Fraud (ODF). Die Malware ist nicht mehr auf Unachtsamkeit beim Klicken von Links angewiesen, sondern verwendet das Betriebssystem selbst gegen den Nutzer.

Die gezielte Ausrichtung auf europäische Bankkunden deutet auf detailliertes Wissen über lokale Infrastrukturen hin. Im Vergleich zu früheren Bedrohungen wie Vultur oder Cerberus ist Sturnus schlanker und modularer aufgebaut – ein Hinweis auf professionelle “Malware-as-a-Service”-Entwicklung.

Besonders brisant: Die Fähigkeit, verschlüsselte Kommunikation massenhaft auszuleiten, macht die Malware nicht nur für Finanzbetrüger interessant. Auch staatliche Akteure oder Industriespione könnten Sturnus einsetzen.

Was Nutzer jetzt tun müssen

Sicherheitsforscher erwarten, dass Sturnus in den kommenden Wochen weiterentwickelt wird. ThreatFabric stuft die aktuelle Version als “Testphase” ein – eine breitere Angriffskampagne könnte kurz bevorstehen.

Drei essenzielle Schutzmaßnahmen:

  1. Kein Sideloading: Apps ausschließlich aus dem Google Play Store installieren
  2. Bedienungshilfen-Anfragen ablehnen: Extreme Skepsis, wenn harmlose Apps wie PDF-Reader Zugriff auf Accessibility Services verlangen
  3. Google Play Protect aktivieren: Sicherstellen, dass der integrierte Virenschutz aktiv ist und regelmäßig scannt

Das Smartphone bleibt das schwächste Glied in der Sicherheitskette. Bis die Bankenbranche mit verschärften Updates reagiert, ist der Nutzer die letzte Verteidigungslinie.

Anzeige

PS: Diese 5 einfachen Maßnahmen machen Ihr Android deutlich sicherer — Tipp 3 verhindert das stille Mitlesen von Apps. Der Gratis-Ratgeber liefert konkrete Anleitungen, Checklisten und erklärt, welche Einstellungen Sie sofort prüfen sollten (z. B. Sideloading vermeiden, Berechtigungen prüfen, Play Protect aktivieren). Die Schritte sind auch für weniger technikaffine Nutzer verständlich erklärt. Gratis Android-Schutz-Paket herunterladen

@ boerse-global.de
Die besten Black Friday Angebote für