Sturnus-Trojaner umgeht WhatsApp-Verschlüsselung

Eine neue Android-Malware greift verschlüsselte Messenger-Nachrichten ab – durch simplen Bildschirm-Mitlesen statt komplexer Kryptografie-Angriffe.

Sicherheitsforscher haben einen Banking-Trojaner entdeckt, der einen gefährlichen Evolutionssprung markiert: Sturnus liest Nachrichten von WhatsApp, Signal und Telegram mit, während sie auf dem Display erscheinen. Die Malware zielt aktuell auf Nutzer in Süd- und Mitteleuropa.

Sturnus bricht keine Verschlüsselung. Das wäre selbst für Geheimdienste extrem aufwendig. Stattdessen wählt der Trojaner den einfacheren Weg: Er liest mit, was der Nutzer sieht.

Die Malware missbraucht Android Accessibility Services – eigentlich für Menschen mit Behinderungen gedacht. Mit diesen Rechten kann Sturnus:

• Bildschirminhalte kopieren, sobald Nachrichten entschlüsselt dargestellt werden
• Tastatureingaben protokollieren, bevor sie verschlüsselt gesendet werden
• Messenger-Apps erkennen und die Überwachung automatisch intensivieren

Passend zum Thema Android-Sicherheit – viele Nutzer übersehen genau die Einstellungen, die Sturnus ausnutzt. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android: wie Sie “Unbekannte Quellen” deaktivieren, Accessibility-Rechte prüfen, gefälschte Update-Meldungen erkennen und Messenger & Mobile-Banking besser absichern. Inkl. praktischer Schritt-für-Schritt-Checks für WhatsApp, Telegram & Co. – ideal für alle, die ihre Chats und Konten schützen wollen. Jetzt Gratis-Sicherheitspaket für Android herunterladen

Laut ThreatFabric befindet sich der Trojaner technisch noch in einer frühen Phase. Funktional ist er bereits hochgefährlich.

Vollständige Geräteübernahme möglich

Sturnus beschränkt sich nicht aufs Mitlesen. Das integrierte VNC-Modul ermöglicht Angreifern die Fernsteuerung des Smartphones in Echtzeit – inklusive Transaktionen, Sicherheitseinstellungen und Nachladen weiterer Schadsoftware.

Aggressiver Selbstschutz: Versucht der Nutzer die Deinstallation, schlägt die Malware zurück. Sie überwacht Einstellungsmenüs, drückt automatisch den Zurück-Button und legt schwarze Overlays über den Bildschirm, um den Nutzer zu verwirren.

Verbreitung über gefälschte Updates

Sturnus verbreitet sich nicht über den Google Play Store, sondern über Sideloading:

• Gefälschte Update-Meldungen für Google Chrome
• Malvertising auf Webseiten mit Download-Links zu infizierten APK-Dateien
• Phishing-SMS mit Apps wie “Preemix Box”

Die geografische Ausrichtung auf wohlhabende europäische Regionen zeigt: Die Hintermänner zielen auf Märkte mit hoher Mobile-Banking-Durchdringung.

Hybride Spionage statt reiner Banking-Angriffe

Sturnus bestätigt einen Trend: Kriminelle entwickeln Banking-Trojaner zu hybriden Spionage-Tools weiter. Private Chats ermöglichen Erpressung, Identitätsdiebstahl und Business Email Compromise – oft mit höherem Schadenspotenzial als direkter Kontodiebstahl.

Im Vergleich zu Vorgängern wie Anatsa oder Teabot zeigt Sturnus höhere Raffinesse bei Anti-Analysis-Techniken. Die Malware ist polymorph konzipiert und kann ihren Code verändern, um Erkennungsmustern zu entgehen.

Google hat Play Protect bereits aktualisiert, doch die Anpassungsfähigkeit der Malware bleibt eine Herausforderung.

Was Nutzer jetzt tun sollten

Die effektivste Verteidigung bleibt Prävention:

• “Unbekannte Quellen” deaktiviert lassen – keine Apps außerhalb des Play Stores installieren
• Höchste Vorsicht bei Accessibility Services – keine App sollte darauf Zugriff erhalten, es sei denn absolut notwendig
• Kritisch bei Update-Aufforderungen – nur über offizielle Stores aktualisieren

Da Sturnus noch in der Testphase ist, dürften die Angriffe in den kommenden Wochen zunehmen. Experten rechnen mit einer Ausweitung auf Krypto-Wallets und E-Mail-Clients sowie einem möglichen Malware-as-a-Service-Modell im Darknet.

PS: Wenn Sie verhindern möchten, dass Malware wie Sturnus Ihre Chats, Passwörter oder Bankzugänge ausliest, sichern Sie jetzt Ihr Android mit einem klaren 5-Punkte-Plan. Das Gratis-Sicherheitspaket liefert leicht umsetzbare Anleitungen, prüft Accessibility- und Sideloading-Risiken und zeigt, wie Sie gefälschte Update-Meldungen entlarven. Sofort-Umsetzung per PDF, ideal für Nutzer von Messenger-Apps und Mobile-Banking. Gratis-Sicherheitspaket jetzt anfordern