Sturnus-Trojaner, WhatsApp

Sturnus-Trojaner späht WhatsApp und Signal aus

29.11.2025 - 06:10:11

Sturnus-Trojaner späht WhatsApp und Signal aus - Foto: über boerse-global.de
Sturnus-Trojaner späht WhatsApp und Signal aus - Foto: über boerse-global.de

Eine neue Android-Malware greift Ende-zu-Ende-verschlüsselte Messenger an. Der Banking-Trojaner “Sturnus” liest Chatverläufe, TANs und private Nachrichten direkt vom Bildschirm ab – noch während der Nutzer tippt.

Die niederländische Sicherheitsfirma ThreatFabric und MTI Security schlagen Alarm: Sturnus markiert einen gefährlichen Evolutionssprung in der mobilen Cyberkriminalität. Die Malware umgeht die Verschlüsselung von WhatsApp, Signal und Telegram nicht durch Knacken – sie wartet einfach, bis die App die Nachricht auf dem Gerät entschlüsselt und anzeigt.

Der Name leitet sich vom lateinischen Begriff für den Gemeinen Star ab. Wie der Vogel mit seinen chaotischen Gesangsmustern wechselt die Malware ständig zwischen Nachrichtenformaten, um automatisierte Sicherheitssysteme zu täuschen.

Anzeige

Passend zum Thema Android-Sicherheit – viele Nutzer übersehen einfache, aber wirkungsvolle Schutzmaßnahmen gegen Trojaner wie Sturnus, die über “Accessibility Services” oder manipulierte APKs eindringen. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schritte mit klaren Schritt-für-Schritt-Anleitungen: sichere App-Quellen, Berechtigungen prüfen, automatische Updates, sinnvolle Antiviren-Einstellungen und Backup-Strategien – speziell für WhatsApp, Online-Banking und TAN-Schutz. Jetzt kostenloses Android-Schutzpaket herunterladen

Sturnus nutzt die Android “Accessibility Services” – eigentlich für Menschen mit Behinderungen gedacht. Durch Social Engineering bringt die Malware Opfer dazu, diese Berechtigung freizugeben. Häufige Tarnung: “Google Chrome Update” oder “Preemix Box”.

Sobald aktiviert, übernimmt der Trojaner die Kontrolle. “Sturnus überwacht den Vordergrund des Geräts. Beim Öffnen von WhatsApp oder Telegram liest er den UI-Tree aus”, erklärt ThreatFabric. Der Angreifer sieht in Echtzeit, was der Nutzer sieht.

Die Fähigkeiten im Überblick:

  • Keylogging: Aufzeichnung aller Tastatureingaben inklusive Passwörter
  • Overlay-Attacken: Gefälschte Login-Masken über echten Banking-Apps
  • Bildschirm-Blackout: Schwarzer Screen bei betrügerischen Transaktionen im Hintergrund
  • Messenger-Überwachung: Mitlesen von Chatverläufen und Bestätigungs-TANs

Fokus auf Süd- und Zentraleuropa

Die Telemetriedaten zeigen eine klare geografische Konzentration. Sturnus befindet sich noch in einer Testphase, breitet sich aber rasant aus. Die Kommunikation zwischen infizierten Geräten und Command-and-Control-Servern erfolgt über WebSocket und HTTP mit RSA- und AES-Verschlüsselung – ein Zeichen hoher Professionalität.

Experten rechnen mit einer massiven Ausweitung pünktlich zum Weihnachtsgeschäft. Die Infrastruktur wird derzeit für eine große Skalierung vorbereitet.

Parallele Bedrohung: NFC-Angriffe in Brasilien

Gleichzeitig sorgt in Brasilien die Kampagne “RelayNFC” für Aufsehen. Diese Malware leitet NFC-Signale legitimer Bankkarten an Angreifer weiter. Diese können dann an Geldautomaten oder Terminals Transaktionen durchführen, als hätten sie die physische Karte in der Hand.

Die Gleichzeitigkeit von Software-Angriffen (Sturnus) und hardware-nahen Attacken (RelayNFC) verdeutlicht die Bandbreite, mit der Kriminelle 2025 mobile Finanzsysteme attackieren.

Evolution des “On-Device Fraud”

Sturnus folgt auf Malware-Familien wie ToxicPanda von Ende 2024. Während ToxicPanda primär auf Kontenübernahmen abzielte, agiert Sturnus als hybride Bedrohung aus Spionage-Werkzeug und Banking-Trojaner.

Warum ist das so gefährlich? Banken verlassen sich auf Verhaltensanalysen und Zwei-Faktor-Authentifizierung. Wenn Transaktionen vom gewohnten Gerät ausgehen, schlagen Alarmsysteme seltener an. Indem Sturnus Transaktionen direkt auf dem Handy initiiert und TANs abfängt, hebelt er diese Sicherheitsarchitektur aus.

“Die Kriminellen wissen, dass sie Bankserver nicht knacken können. Also nutzen sie den Menschen und sein Endgerät als Schwachstelle”, kommentiert ein Sicherheitsanalyst.

So schützen Sie sich jetzt

Nur offizieller App Store: Laden Sie Apps ausschließlich aus dem Google Play Store. Sturnus verbreitet sich oft über Phishing-SMS oder manipulierte Webseiten mit APK-Dateien.

Vorsicht bei Bedienungshilfen: Wenn eine App Zugriff auf “Accessibility Services” verlangt, sollten alle Alarmglocken schrillen. Seriöse Apps benötigen diesen Zugriff in der Regel nicht – selbst wenn sie wie Chrome oder ein PDF-Reader aussehen.

Sicherheitssoftware aktivieren: Moderne mobile Antiviren-Lösungen beginnen bereits, die Signaturen von Sturnus zu erkennen.

Google und Samsung dürften zeitnah Sicherheitsupdates veröffentlichen. Bis dahin gilt höchste Wachsamkeit. Das Smartphone ist längst zum primären Ziel finanziell motivierter Cyberkriminalität geworden – der Angreifer liest nicht mehr nur Passwörter mit, sondern auch unsere vertraulichsten Nachrichten.

Anzeige

PS: Sie nutzen Messenger und Online-Banking? Der gratis-Report zeigt kompakt, wie Sie in wenigen Minuten gefährliche Berechtigungen erkennen, Phishing-SMS ausfiltern und Accessibility-Rechte sicher verwalten – genau die Maßnahmen, die gegen Trojaner wie Sturnus schützen. Enthalten: praktische Checklisten und leicht verständliche Anleitungen zur sicheren App-Installation. Gratis Android-Sicherheitspaket anfordern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler