Sturnus: Trojaner liest WhatsApp und Signal mit

Eine neue Dimension der mobilen Bedrohung rollt auf Android-Nutzer zu. Sicherheitsforscher haben Details zu „Sturnus” veröffentlicht, einem Banking-Trojaner, der selbst Ende-zu-Ende-Verschlüsselung aushebelt. Die Malware greift Bildschirminhalte direkt ab und attackiert gezielt Kunden von Finanzinstituten in Süd- und Zentraleuropa.

Die Bedrohung ist real: Sturnus liest private Nachrichten auf WhatsApp, Telegram und Signal mit – und das trotz Verschlüsselung. Wie ist das möglich?

Sturnus nutzt die Android-Bedienungshilfen (Accessibility Services) auf aggressive Weise. Sobald das Opfer die geforderten Berechtigungen erteilt, übernimmt der Trojaner die Kontrolle über das Gerät.

Viele Android-Nutzer übersehen diese 5 grundlegenden Sicherheitsmaßnahmen – und genau diese Lücken nutzt Sturnus aus. Das kostenlose Sicherheitspaket erklärt Schritt für Schritt, wie Sie Ihr Smartphone für WhatsApp, Online-Banking und andere Apps richtig absichern, bekannte Angriffsmuster erkennen und Sideloading verhindern. Mit praktischen Checklisten und klaren Anweisungen können auch weniger technikaffine Nutzer sofort handeln. Gratis-Sicherheitspaket für Android herunterladen

Laut Sicherheitsfirma ThreatFabric protokolliert die Malware Tastatureingaben und führt Overlay-Angriffe durch. Dabei legt sie täuschend echte Anmeldefenster über Banking-Apps. Die eingegebenen Zugangsdaten landen direkt auf den Servern der Cyberkriminellen.

Doch damit nicht genug: Über eine VNC-Verbindung können die Angreifer das Smartphone in Echtzeit fernsteuern. Sie scrollen durch Menüs und simulieren Klicks, während der Bildschirm schwarz geschaltet wird, um die betrügerischen Aktivitäten zu verbergen.

Verschlüsselung umgangen – aber nicht gebrochen

Das beunruhigendste Feature: Sturnus hebelt die Ende-zu-Ende-Verschlüsselung von Messengern aus. Technisch bricht der Trojaner die Verschlüsselung nicht – er wartet einfach, bis die App die Nachricht für den Nutzer entschlüsselt und auf dem Display anzeigt.

Durch den Missbrauch der Bedienungshilfen liest Sturnus den Bildschirminhalt in Echtzeit aus. Die Malware erkennt automatisch, wenn WhatsApp, Signal oder Telegram geöffnet wird, und beginnt sofort mit der Aufzeichnung. Damit gelangen nicht nur Bankdaten, sondern auch intimste private Kommunikation und Zwei-Faktor-Codes in die Hände der Angreifer.

Verbreitung über gefälschte Updates

Sturnus verbreitet sich primär über „Sideloading”, nicht über den Google Play Store. Die Angreifer locken Opfer auf präparierte Webseiten, die zum Download vermeintlich wichtiger Updates auffordern.

Häufig tarnt sich der Trojaner als Update für Google Chrome oder als harmlose Systemanwendung mit Namen wie „Preemix Box”. Nach der Installation fordert die App penetrant die Aktivierung der Bedienungshilfen ein.

Wird dies gewährt, verankert sich Sturnus tief im System und blockiert Versuche, die App zu deinstallieren. Die Malware verschleiert zudem ihre Kommunikation mit Command-and-Control-Servern durch einen Mix aus Verschlüsselungsmethoden.

Professionelle Bedrohung mit klarem Ziel

Die Konzentration auf europäische Finanzinstitute deutet auf eine gut organisierte Gruppe hin. Branchenexperten sehen Parallelen zu früheren Banking-Trojanern wie Xenomorph oder Vultur, doch Sturnus kombiniert deren gefährlichste Funktionen.

Besonders besorgniserregend: Die Malware verfügt trotz ihres Entwicklungsstadiums bereits über fortschrittliche Obfuskationstechniken. Herkömmliche SMS-TANs werden durch die Screen-Reading-Fähigkeiten praktisch wertlos.

So schützen Sie sich

Sicherheitsexperten erwarten eine zunehmende Verbreitung von Sturnus in den kommenden Wochen. Für Android-Nutzer gelten folgende Regeln:

• Keine Apps aus unbekannten Quellen installieren – Sideloading strikt vermeiden
• Vorsicht bei Bedienungshilfen-Zugriff – Massive Warnsignal, wenn nicht absolut notwendig
• Google Play Protect aktiviert lassen – Google blockiert bereits bekannte Signaturen von Sturnus

Bei Verdacht auf Infektion: Gerät sofort vom Internet trennen und auf Werkseinstellungen zurücksetzen. Eine einfache Deinstallation scheitert bei Sturnus meist.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine Lücke, die Banking-Trojaner gern ausnutzen. Der Gratis-Ratgeber kommt mit Schritt-für-Schritt-Anleitungen, erklärt, wie Sie Google Play Protect nutzen, Bedienungshilfen prüfen und Sideloading verhindern. Fordern Sie jetzt den kostenlosen Leitfaden an und schützen Sie Ihre Chats, Passwörter und Zwei-Faktor-Codes effektiv. Jetzt kostenloses Android-Sicherheitspaket anfordern