Sturnus-Trojaner: Neue Android-Malware hebelt Verschlüsselung aus

Pünktlich zur Hochsaison des Online-Shoppings stehen Bankkunden vor einer gefährlichen Bedrohung: Ein neuartiger Android-Trojaner namens „Sturnus” kann verschlüsselte Nachrichten auslesen – und damit Zwei-Faktor-Authentifizierung praktisch wertlos machen. Gleichzeitig erschüttert eine massive Datenpanne bei einem Zulieferer über 100 Finanzinstitute weltweit. Warum ausgerechnet jetzt?

Die Sicherheitsforscher von ThreatFabric und MTI Security schlugen diese Woche Alarm: Sturnus nutzt eine raffinierte Technik, die selbst als sicher geltende Messenger-Apps wie WhatsApp, Telegram und Signal aushebelt. Statt die Verschlüsselung zu knacken, wartet die Malware einfach, bis die legitime App die Nachricht für den Nutzer entschlüsselt – und kopiert dann den Inhalt direkt vom Bildschirm. Banking-Codes und Verifizierungsdaten, die Nutzer für geschützt halten, landen so direkt bei den Angreifern.

Besonders perfide: Sturnus kann den Bildschirm des Opfers verdunkeln und so Transaktionen im Hintergrund durchführen, ohne dass der Nutzer etwas bemerkt. Die Schadsoftware tarnt sich als Update bekannter Apps – etwa als neue Chrome-Version –, um Nutzer zum manuellen Installieren der APK-Datei zu verleiten.

„Sturnus repräsentiert eine hochentwickelte und umfassende Bedrohung”, warnen die Analysten von ThreatFabric. Derzeit konzentrieren sich die Angriffe auf Finanzinstitute in Süd- und Mitteleuropa. Wie viele deutsche Banken bereits betroffen sind, bleibt unklar.

Lieferketten-Hack trifft Wall-Street-Giganten

Während Verbraucher mit direkten Malware-Attacken kämpfen, erschüttert ein massiver Sicherheitsvorfall die Branche selbst. Am 24. November wurde bekannt, dass Hacker in die Systeme von SitusAMC eingedrungen sind – einem führenden Technologie-Dienstleister für die Hypotheken- und Immobilienfinanzierung.

Der Angriff vom 12. November kompromittierte sensible Unternehmensdaten von über 100 Finanzinstituten, darunter Schwergewichte wie JPMorgan Chase, Citi und Morgan Stanley. Die Angreifer erbeuteten Buchhaltungsunterlagen und rechtliche Verträge – Informationen, die für perfekt getarnte Phishing-Angriffe missbraucht werden könnten.

Passend zum Thema Android-Sicherheit: Der Sturnus-Trojaner zeigt, wie gefährlich Screen-Scraping und manuelle APK-Installationen sind. Unser kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone – von der richtigen Play-Store-Nutzung über App-Berechtigungen bis zu Einstellungen, die Screen-Scraping erschweren. Praxistaugliche Schritt-für-Schritt-Anleitungen helfen, WhatsApp, Mobile-Banking und Bezahldienste zu schützen. Gratis Android-Sicherheits-Paket herunterladen

Die FBI versichert zwar, es gebe „derzeit keine Auswirkungen auf Bankdienstleistungen”. Doch Sicherheitsexperten warnen: Mit Kenntnis interner Geschäftsbeziehungen und Lieferantenverträge können Betrüger hochgradig überzeugende E-Mails erstellen, um Verifizierungsverfahren bei Überweisungen zu umgehen.

Black Friday als perfektes Timing für Betrüger

Die zeitliche Überschneidung beider Vorfälle mit der umsatzstärksten Shopping-Woche des Jahres ist kein Zufall. Das Cybersecurity-Unternehmen Kaspersky verzeichnete zwischen Januar und Oktober 2025 bereits knapp 4 Millionen Phishing-Angriffe auf Nutzer von Online-Shops, Bezahlsystemen und Banken. Im November schnellten die Zahlen dramatisch nach oben.

„48,21 Prozent aller finanzbezogenen Phishing-Angriffe zielten auf Online-Shopper”, heißt es im Kaspersky-Report. Die Flut an Versandbestätigungen und Zahlungshinweisen bietet Betrügern ideale Tarnung. KI-gestützte Tools machen gefälschte Verifizierungsanfragen inzwischen nahezu ununterscheidbar von echten Bank-Mitteilungen.

„Digitale Verhaftung” fordert neue Opfer

Parallel zu technischen Angriffen florieren klassische Betrugsmaschen. Am 26. November wurde ein besonders dreister Fall aus Indien bekannt: Eine Nachhilfelehrerin verlor umgerechnet rund 30.000 Euro, nachdem sich Betrüger als Ermittler ausgaben und behaupteten, ihr Konto werde für Geldwäsche missbraucht.

Die Täter forderten unter Zeitdruck Geld zur „Verifizierung” und versprachen Rückerstattung nach Abschluss der Ermittlungen. Was viele nicht wissen: Echte Behörden verlangen niemals Geldüberweisungen zur Kontoprüfung.

Vertrauen allein reicht nicht mehr

Die Kombination aus Sturnus-Trojaner und SitusAMC-Datenpanne markiert einen Wendepunkt: „Das Problem mit ‚Vertrauen aber prüfen’ ist, dass wir nicht prüfen”, konstatierte eine aktuelle Sicherheitsanalyse.

Für Banken zeigt der Vorfall die Risiken ausgelagerter Dienstleistungen. Die Verteidigungslinien eines Instituts sind nur so stark wie die des schwächsten Zulieferers. Für Verbraucher stellt Sturnus die Annahme infrage, dass „sichere” Apps unantastbar seien. On-Device-Betrug – Angriffe direkt auf dem Gerät des Opfers – macht viele netzwerkbasierte Sicherheitsmaßnahmen wirkungslos.

Was Banken und Nutzer jetzt tun müssen

Experten rechnen für den Rest des Jahres mit verschärfter Bedrohungslage:

Banken werden voraussichtlich strengere Verifizierungsverfahren für mobile Transaktionen einführen. SMS- und App-basierte Einmalpasswörter könnten zunehmend durch Hardware-Sicherheitsschlüssel oder biometrische Verfahren ersetzt werden, die gegen Screen-Scraping resistent sind.

Regulatoren dürften nach der SitusAMC-Panne das Lieferantenrisiko-Management verschärfen. Neue Compliance-Vorgaben in EU und USA erscheinen wahrscheinlich – möglicherweise verbunden mit Bußgeldern.

Verbraucher sollten sofort handeln: Sicherheitsanbieter raten Android-Nutzern dringend, die Option „Installation aus unbekannten Quellen” zu deaktivieren und ausschließlich den Google Play Store zu nutzen. Sturnus verbreitet sich primär über manuell installierte Apps.

In einer Zeit, in der technische Angriffe und Social Engineering verschwimmen, wird Skepsis zur wirksamsten Firewall. Die Frage lautet nicht mehr, ob Ihre Bank kompromittiert wird – sondern wann.

PS: Sie shoppen jetzt in der Hochsaison – sichern Sie Ihr Smartphone gegen Screen-Scraping und Malware, bevor Betrüger zuschlagen. Der kostenlose Ratgeber erklärt konkret, welche Einstellungen sofort schützen, welche Apps Sie prüfen sollten und wie Sie manuelle APK-Installationen zuverlässig verhindern. So reduzieren Sie das Risiko von Kontoübernahmen und Phishing beim Bezahlen. Jetzt kostenloses Android-Schutzpaket anfordern