Sturnus und RadzaRat: Neue Android-Malware liest verschlüsselte Nachrichten

Sicherheitsforscher schlagen Alarm: Zwei neue Schadsoftware-Stämme spähen Android-Nutzer aus – und umgehen dabei die eigentlich sichere Ende-zu-Ende-Verschlüsselung von Signal, WhatsApp und Telegram. Die Bedrohung ist real, die Verbreitung läuft bereits.

Das Wochenende brachte gleich zwei unangenehme Überraschungen für Android-Nutzer. Während das niederländische Sicherheitsunternehmen ThreatFabric am Freitag Details zum Banking-Trojaner Sturnus veröffentlichte, warnte Certo Software am Samstag vor RadzaRat – einem Fernzugriffs-Tool, das aktuell von keiner gängigen Antivirus-Software erkannt wird. Beide Bedrohungen markieren eine neue Eskalationsstufe bei mobilen Angriffen.

Die Entdeckungen reihen sich ein in einen turbulenten November für mobile Sicherheit: Erst Anfang des Monats wurde die “Landfall”-Kampagne gegen Samsung-Geräte publik.

Sturnus – benannt nach dem europäischen Star (Sturnus vulgaris), der für sein Nachahmungstalent bekannt ist – macht seinem Namen alle Ehre. Statt sich an der Entschlüsselung verschlüsselter Nachrichten die Zähne auszubeißen, wählt die Schadsoftware einen cleveren Umweg: Sie liest einfach mit, nachdem die Nachricht bereits für den Nutzer entschlüsselt wurde.

Passend zum Thema Android-Sicherheit: Viele Nutzer wissen nicht, welche Rechte Apps über die Bedienungshilfen erhalten – genau diese Lücke nutzen Sturnus & RadzaRat. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone, zeigt Schritt-für-Schritt, wie Sie Bedienungshilfen prüfen, gefälschte Overlays erkennen und sichere Einstellungen für Banking-Apps setzen. Schützen Sie Ihre Chats und Konten jetzt. Gratis-Sicherheitspaket für Android sichern

Die Funktionsweise ist so simpel wie effektiv. Sobald ein Opfer WhatsApp, Telegram oder Signal öffnet, aktiviert Sturnus ein Screen-Scraping-Modul. Möglich macht das der Missbrauch der Android-Bedienungshilfen (Accessibility Services) – eigentlich gedacht für Menschen mit Behinderungen, hier pervertiert zum Überwachungswerkzeug.

“Ein zentrales Unterscheidungsmerkmal ist die Fähigkeit, verschlüsselte Nachrichten zu umgehen”, erklären die ThreatFabric-Analysten. “Indem Inhalte direkt vom Bildschirm nach der Entschlüsselung erfasst werden, kann Sturnus Kommunikation überwachen – ohne dass der Nutzer etwas bemerkt.”

Wenn die Banking-App plötzlich anders aussieht

Doch beim Nachrichtenlesen bleibt es nicht. Sturnus zielt primär auf finanzielle Beute ab. Der Trojaner verfügt über Overlay-Templates, die Login-Masken großer Banken in Süd- und Mitteleuropa täuschend echt nachbilden. Öffnet das Opfer seine Banking-App, legt sich blitzschnell eine gefälschte Anmeldeseite darüber – die Zugangsdaten landen direkt bei den Angreifern.

Noch perfider: Die sogenannte “Device Takeover”-Funktion (DTO). Damit können Kriminelle:
* Aus der Ferne Gesten ausführen (Tippen, Wischen)
* Text in Felder eingeben
* Den Bildschirm schwärzen, um Transaktionen im Hintergrund zu verbergen

Stellen Sie sich vor: Ihr Smartphone führt Überweisungen durch, während Sie auf einen schwarzen Bildschirm starren. Klingt nach Science-Fiction? Ist bei Sturnus bereits Realität.

RadzaRat: Der unsichtbare Eindringling

Als wäre Sturnus nicht beunruhigend genug, tauchte am Samstag die nächste Bedrohung auf. RadzaRat – ein Fernzugriffs-Trojaner, der zum Zeitpunkt seiner Entdeckung eine Erkennungsrate von null von 66 auf VirusTotal aufwies. Kein einziger großer Antivirus-Anbieter hatte die Signatur auf dem Radar.

Besonders dreist: Die Malware wird über GitHub verbreitet – eine Plattform, auf der normalerweise legitime Software-Entwicklung stattfindet. Unter dem Alias “Heron44” bewirbt der Entwickler sein Tool als harmlose Fernwartungslösung. Tatsächlich tarnt sich RadzaRat als Dateimanager und verschafft Angreifern vollständige Kontrolle über infizierte Geräte.

“Wir beobachten im Grunde, wie Malware über dieselben Plattformen verbreitet wird, die für legitime Software-Entwicklung genutzt werden”, kommentierte Simon Lewis, Mitgründer von Certo Software.

Einmal installiert, missbraucht RadzaRat ebenfalls die Bedienungshilfen – zum Mitschneiden von Tastatureingaben und zum Abgreifen von Dateien. Passwörter, Suchanfragen, persönliche Dokumente: alles offen wie ein Buch.

Accessibility Services: Das Einfallstor

Was beide Bedrohungen verbindet? Der Missbrauch einer Funktion, die eigentlich Gutes bewirken soll. Die Android-Bedienungshilfen wurden entwickelt, um Menschen mit Behinderungen die Smartphone-Nutzung zu erleichtern. Wer sie aktiviert, gibt Apps weitreichende Berechtigungen – darunter die Fähigkeit, Bildschirminhalte auszulesen und Aktionen auszuführen.

Genau hier liegt das Problem: Selbst vollständig gepatchte Geräte sind angreifbar, wenn Nutzer durch Social Engineering dazu gebracht werden, diese Berechtigungen zu erteilen. Eine Software-Schwachstelle braucht es dafür nicht mehr.

Die Angriffsmethode markiert einen Paradigmenwechsel. Statt aufwändiger Zero-Day-Exploits wie bei der “Landfall”-Kampagne gegen Samsung-Geräte Anfang November setzen Cyberkriminelle nun auf das schwächste Glied der Kette: den Menschen.

Vor der großen Welle?

Sicherheitsexperten warnen: Die Einstiegshürde für Cyberkriminelle sinkt dramatisch. Die Verbreitung von RadzaRat über GitHub und das vermutete “Malware-as-a-Service”-Modell hinter Sturnus deuten darauf hin, dass ausgefeilte Spionage-Tools zunehmend zur Massenware werden.

ThreatFabric gibt zu bedenken: “Die Kombination aus geografischer Zielgenauigkeit und dem Fokus auf hochwertige Anwendungen legt nahe, dass die Angreifer ihre Tools vor breiteren oder koordinierteren Operationen verfeinern.” Sturnus befinde sich aktuell noch in einer “Entwicklungs- oder begrenzten Testphase”.

Mit anderen Worten: Was wir diese Woche sehen, könnte nur der Anfang sein. Gerade zur bevorstehenden Weihnachtssaison – traditionell eine Hochphase für Online-Shopping und Banking – rechnen Experten mit einer Ausweitung der Angriffe.

Was Nutzer jetzt tun sollten

Seit Montag arbeiten Sicherheitsanbieter fieberhaft an aktualisierten Signaturen. Google betont zwar, dass Google Play Protect automatisch gegen bekannte Bedrohungen schützt – doch die initiale “Null-Erkennungs-Phase” von RadzaRat zeigt deutlich die Verzögerung zwischen Malware-Veröffentlichung und Erkennung.

Konkrete Schutzmaßnahmen:

• Bedienungshilfen prüfen: Gehen Sie in die Einstellungen und entziehen Sie allen Apps die Berechtigung “Bedienungshilfen”, die nicht unbedingt notwendig sind. Seriöse Apps benötigen diese Funktion in der Regel nicht.

• Quellen verifizieren: Laden Sie Dateimanager oder Utility-Apps ausschließlich aus dem offiziellen Google Play Store herunter. Finger weg von dubiosen GitHub-Repositories oder Drittanbieter-Stores.

• Aufmerksam bleiben: Sieht der Login-Bildschirm Ihrer Banking-App plötzlich etwas anders aus? Werden ungewöhnliche Informationen abgefragt? Schließen Sie die App sofort und kontaktieren Sie Ihre Bank.

• Zweifaktor-Authentifizierung nutzen: Auch wenn Anmeldedaten abgegriffen werden, bietet 2FA eine zusätzliche Schutzebene.

Die Situation bleibt dynamisch. Sobald Sicherheitsanbieter neue Erkennungsmethoden veröffentlichen, folgen Updates.

PS: Gerade zur Weihnachtszeit steigt die Gefahr für Banking-Betrug und Screen-Scraping-Angriffe. Holen Sie sich den kostenlosen Ratgeber mit fünf praktischen Schutzmaßnahmen: Schritt-für-Schritt-Anleitungen zum Überprüfen von Berechtigungen, sicheren App-Quellen, Erkennung gefälschter Login-Bildschirme und Tipps zu 2FA. Ideal für Nutzer von WhatsApp, Telegram und Mobile-Banking. Jetzt Android-Schutz-Ratgeber anfordern