Sturnus-Trojaner: Neue Cyberbedrohung überwindet verschlüsselte Banking-Apps

Der europäische Finanzsektor steht unter Beschuss: Mitten im Weihnachtsgeschäft attackiert ein hochentwickelter Android-Trojaner namens „Sturnus” Banking-Apps und umgeht dabei selbst verschlüsselte Messaging-Dienste. Gleichzeitig registrieren Sicherheitsbehörden eine Rekordzahl von Phishing-Angriffen auf Online-Shopper.

Erst heute, am 1. Dezember, warnte die Hong Kong Monetary Authority (HKMA) vor gefälschten Login-Seiten großer Finanzinstitute. Die Bedrohung ist real und betrifft Verbraucher weltweit.

Ende November 2025 entdeckten Cybersecurity-Forscher von ThreatFabric und MTI Security einen hochentwickelten Android-Banking-Trojaner mit einem beunruhigenden Feature: Sturnus kann Nachrichten aus WhatsApp, Telegram und Signal auslesen – und zwar nachdem das Gerät sie für den Nutzer entschlüsselt hat.

„Sturnus markiert einen Quantensprung bei mobiler Banking-Malware”, erklären die Forscher in ihrer Analyse. „Indem die Schadsoftware die Verschlüsselung über Screen-Accessibility-Dienste umgeht, werden traditionelle Sicherheitsmechanismen für den Endnutzer nutzlos.”

Viele Android‑Nutzer übersehen diese 5 Sicherheitsmaßnahmen – und genau diese Lücken machen Geräte für Banking‑Trojaner wie Sturnus angreifbar. Das kostenlose Android‑Sicherheits‑Paket erklärt Schritt für Schritt, wie Sie Bedienungshilfen, App‑Berechtigungen und Overlay‑Angriffe erkennen und zuverlässig blockieren. Inklusive praktischer Checkliste für WhatsApp, Telegram und Mobile‑Banking, damit Sie sofort sicherer unterwegs sind. Jetzt kostenloses Android-Sicherheits-Paket herunterladen

Der Trojaner verbreitet sich hauptsächlich über manipulierte APK-Dateien, die als legitime Updates bekannter Apps wie Google Chrome getarnt sind. Die Infektionskette startet häufig über schadhaften Anhänge in Messenger-Nachrichten. Sobald installiert, fordert Sturnus Zugriff auf die „Bedienungshilfen” des Android-Systems – eine klassische Taktik. Gewährt der Nutzer diese Berechtigung, übernimmt die Malware faktisch die Kontrolle.

Das Arsenal ist umfassend und alarmierend:

• Screen-Blackout: Die Malware kann den Bildschirm abdunkeln oder komplett schwärzen, um betrügerische Transaktionen im Hintergrund zu verbergen
• Overlay-Attacken: Täuschend echte Fake-Login-Masken imitieren Banking-Apps, um Zugangsdaten abzugreifen
• Fernsteuerung: Angreifer können Befehle ausführen, Zwei-Faktor-Codes abfangen und Daten extrahieren – ohne dass der Nutzer etwas bemerkt

Zunächst richtete sich Sturnus gegen Finanzinstitute in Süd- und Mitteleuropa. Sicherheitsexperten warnen jedoch: Das modulare Design ermöglicht eine rasche Anpassung an Banken weltweit. Deutsche Sparkassen und Volksbanken könnten die nächsten Ziele sein.

Weihnachtsgeschäft als Phishing-Paradies

Das Auftauchen von Sturnus fällt zeitlich zusammen mit einer Rekordwelle von Phishing-Attacken rund um Black Friday und Cyber Monday.

Kaspersky registrierte allein in den ersten zehn Monaten 2025 etwa 6,4 Millionen Phishing-Angriffe – 48,2 Prozent davon richteten sich gegen Online-Shopper. Als Händler ihre Weihnachtsangebote starteten, zogen Cyberkriminelle nach.

„Wir haben in den ersten beiden Novemberwochen über 146.000 Black-Friday-Spam-Nachrichten blockiert”, berichtet Kaspersky. Diese Nachrichten tarnen sich als dringende Versandbenachrichtigungen, exklusive Angebote oder Kontobestätigungen von Amazon, eBay und Co.

Auch die US-Bundespolizei FBI schlug am 25. November Alarm und rief Verbraucher zur Wachsamkeit auf. Die Behörde betont: Opfer, die Betrug innerhalb von 72 Stunden dem Internet Crime Complaint Center (IC3) melden, haben deutlich höhere Chancen, verlorene Gelder zurückzuerhalten.

Konkrete Bedrohungslage: Weltweite Banking-Warnungen

Die Gefahr ist keine theoretische Übung. Heute, am 1. Dezember 2025, warnte die HKMA explizit vor gefälschten Websites und Login-Masken, die sich als Chiyu Banking Corporation ausgeben. Dies folgt auf ähnliche Warnungen vom 27. November bezüglich der Bank of East Asia, Shanghai Commercial Bank und Chong Hing Bank.

Diese Fake-Seiten sind darauf ausgelegt, Login-Daten und Einmalpasswörter (OTPs) abzufangen. Die HKMA stellte klar: Seriöse Banken verschicken niemals SMS oder E-Mails mit eingebetteten Hyperlinks zu Transaktionsseiten – ein wichtiges Erkennungsmerkmal für Phishing-Versuche.

In den USA ging Google Ende November rechtlich gegen die „Smishing Triad” vor, eine in China ansässige Cyberkriminellen-Gruppe. Diese koordinierte eine massive SMS-Phishing-Kampagne („Smishing”) und nutzte ein ausgefeiltes Phishing-Kit namens „Lighthouse”. Die Gruppe attackierte Opfer in 120 Ländern, indem sie sich als Postdienste und Mautbetreiber ausgab, um Kreditkartendaten zu stehlen.

Die „Smishing”-Explosion: Warum jetzt?

Das zeitgleiche Auftreten von Sturnus und den Aktivitäten der Smishing Triad markiert einen kritischen strategischen Wandel in der Cyberkriminalität. Während Desktop-Sicherheit besser wird, verlagern Angreifer ihren Fokus aggressiv auf mobile Geräte – und nutzen das Vertrauen aus, das Nutzer SMS und Messenger-Apps entgegenbringen.

Laut BioCatch haben SMS-basierte Phishing-Angriffe Ende 2025 im Jahresvergleich um das Zehnfache zugenommen. Der Grund: Textnachrichten werden nahezu immer geöffnet, und auf kleinen Smartphone-Displays ist es schwer, Absender zu verifizieren.

„Die Einstiegshürde für Cyberkriminelle ist dramatisch gesunken”, erklärt ein Analyst des SANS Institute. „Phishing-as-a-Service-Kits wie Lighthouse ermöglichen selbst Anfängern, ausgefeilte Kampagnen zu starten, die traditionelle Spam-Filter austricksen.”

Verschärfend kommt der Einsatz von KI hinzu. Während Deepfake-Voice-Scams Schlagzeilen machen, ist die weitaus größere Bedrohung KI-generierter Text. Internationale Angreifer können damit perfekt formulierte Phishing-Nachrichten in jeder Sprache verfassen – der klassische Hinweis „schlechte Grammatik” fällt als Warnsignal weg.

Ausblick 2026: Zero-Trust und Verhaltensbiometrie

Das Katz-und-Maus-Spiel zwischen Finanzinstituten und Cyberkriminellen wird sich 2026 weiter intensivieren.

Banken werden voraussichtlich die Einführung verhaltensbasierter Biometrie beschleunigen. Anders als statische Passwörter oder SMS-TANs analysiert Verhaltensbiometrie, wie ein Nutzer mit seinem Gerät interagiert: Tippgeschwindigkeit, Wischmuster, Mausbewegungen. Ändert sich das Verhalten plötzlich (was auf einen ferngesteuerten Angriff hinweist) oder wird das Gerät während einer Transaktion ungewöhnlich gehalten, markiert das System die Aktivität als verdächtig.

„Die Ära reiner Passwörter und SMS-Codes neigt sich dem Ende zu”, sagt ein Sicherheitsarchitekt einer großen europäischen Bank. „Wir bewegen uns in Richtung kontinuierlicher Authentifizierung, bei der Vertrauen bei jedem Schritt der Sitzung verifiziert wird – nicht nur an der Eingangstür.”

Was Verbraucher jetzt tun müssen

Für Verbraucher bleibt der Rat konsistent, aber dringlicher denn je:

• Niemals Links klicken in unaufgeforderten SMS oder E-Mails, die angeblich von Ihrer Bank stammen
• Apps verifizieren: Nur aus offiziellen Stores laden und Herausgeber-Details prüfen
• Berechtigungen kontrollieren: Seien Sie misstrauisch bei Apps, die „Bedienungshilfen” anfordern
• Sofort melden: Informieren Sie Ihre Bank und Behörden umgehend, wenn Sie einen Datenmissbrauch vermuten

Mit der aktiven Weiterentwicklung von Sturnus und Phishing-Angriffen auf Rekordhoch ist digitale Wachsamkeit im Dezember die effektivste Verteidigung für Online-Banking-Kunden. Kein Wunder also, dass Sicherheitsexperten von einem der gefährlichsten Weihnachtsgeschäfte der letzten Jahre sprechen.

Übrigens: Wussten Sie, dass schon eine einzige falsch gesetzte Berechtigung Apps vollständig aushebeln kann? Der Gratis-Report zeigt die 5 wichtigsten Schutzmaßnahmen für Android — mit leicht umsetzbaren Anleitungen, die Sie sofort anwenden können, plus einem Notfallplan für den Fall eines Trojaner-Befalls. Schützen Sie Ihr Handy gegen Smishing, Overlay-Attacken und manipulierte APKs. Jetzt Gratis-Ratgeber anfordern