Sturnus: Neuer Android-Banking-Trojaner entfesselt eine gefährliche Ära mobiler Cyberangriffe

Mit Sturnus ist eine neue Generation von Android-Bedrohungen aufgetaucht. Die Malware stiehlt nicht nur Zugangsdaten oder manipuliert Banktransaktionen, sondern übernimmt auf Wunsch das gesamte Gerät. Besonders alarmierend: Selbst Ende-zu-Ende-verschlüsselte Messenger wie Signal, WhatsApp oder Telegram sind nicht geschützt – nicht wegen eines Fehlers in der Kryptografie, sondern weil der Trojaner mit Hilfe mächtiger Android-Berechtigungen direkt am Gerät ansetzt.

Sturnus liest Bildschirminhalte aus, bevor sie für den Nutzer sichtbar werden, zeigt täuschend echte Overlays für Banking-Apps und ermöglicht eine vollständige Fernsteuerung des infizierten Smartphones. Experten beobachten derzeit gezielte Testkampagnen in Europa, die darauf hindeuten, dass Sturnus noch in der Entwicklung ist – aber bereits jetzt gefährlich ausgereift.

Wie Sturnus angreift – Kontrolle, Spionage, Manipulation

Die Infektion erfolgt meist über das Installieren manipulierten App-Pakete außerhalb offizieller Stores. Einmal aktiv, nutzt Sturnus Funktionen der Bedienungshilfen, Administratorrechte und Overlay-Techniken, um:

• Bildschirm und Tastatureingaben auszulesen
• Messenger-Nachrichten nach ihrer Entschlüsselung mitzulesen
• Logins über gefälschte Oberflächen abzugreifen
• Überweisungen oder App-Eingaben unbemerkt auszuführen
• den Bildschirm zu verdunkeln und Warnungen zu unterdrücken
• das Gerät per Fernsteuerung vollständig zu kontrollieren

Durch verschlüsselte Kommunikation mit den Steuerungsservern und hohe Persistenz ist Sturnus schwer zu erkennen und noch schwieriger zu entfernen.

Warum Sturnus mehr ist als „nur Malware“

Für Shane Barney, Chief Information Officer bei Keeper Security, ist Sturnus „eine weitere gefährliche Eskalation im Mobil-Betrug, da der Android-Banking-Trojaner nicht nur Anmeldedaten stiehlt und eine vollständige Übernahme des Geräts ermöglicht, sondern auch korrekt Ende-zu-Ende-verschlüsselte Chats liest“.

Die Entwickler hinter Sturnus testen den Trojaner offenbar in zielgerichteten Kampagnen. Die Bausteine seien so ausgereift, dass eine rasche und massenhafte Skalierung möglich ist, sobald effizientere Verbreitungsmethoden gefunden werden.

Barney fordert Sicherheitsverantwortliche auf, mobile Geräte als hochwertige Assets zu behandeln. Die notwendigen Maßnahmen umfassen:

• strikte App-Installationsrichtlinien
• verpflichtende Geräteattestierung
• starke Endpoint Detection für Android
• Blockieren von Barrierefreiheits- und Fernsteuerberechtigungen
• Ablösung unregulierter Consumer-Messenger durch sichere Unternehmenslösungen

Unternehmen sollten grundsätzlich von einer möglichen Kompromittierung ausgehen. Least-Privilege-Modelle, segmentierte Netzwerke, starke und adaptive Mehrfaktor-Authentifizierung sowie regelmäßige Zugangsdatenrotation verhindern, dass ein einzelnes Gerät zum Eintrittspunkt in kritische Systeme wird.

Fazit

Sturnus erinnert daran, dass Ende-zu-Ende-Verschlüsselung nur Daten während der Übertragung schützt – nicht jedoch ein kompromittiertes Endgerät. Der mobile Endpunkt rückt immer mehr ins Zentrum moderner Angriffe, weil dort Authentifizierung, Kommunikation und Transaktionen zusammenlaufen. Effektive Sicherheit muss also Endpunkte, Zugriffspfade und Verteidigungsmechanismen ganzheitlich absichern.

Außerdem müssen Unternehmen mobile Geräte in ihre Zero-Trust-Architektur einbeziehen. Wer die Mobilkette ignoriert, öffnet Angreifern einen direkten Weg in Identitäten, Messenger-Kommunikation, interne Systeme und Finanzabläufe.

Stefan Mutschler, freier Journalist

Weitere Artikel zum Thema: 

Neuer Trojaner verbreitet sich über Google Play & Co.

Kampagnen zur Unternehmensspionage schwer aktiv

Warnung: Mobile Phishing-Angriffe nehmen massiv zu