Neue Android-Malware klaut Inhalte aus Signal, WhatsApp und Telegram
Eine neu entdeckte Android-Malware sorgt unter Sicherheitsexperten für erhebliche Unruhe: Der Banking-Trojaner "Sturnus" ist in der Lage, selbst Kommunikation aus Ende-zu-Ende-verschlüsselten Messengern wie Signal, WhatsApp und Telegram mitzulesen.
Laut des Sicherheitsunternehmens ThreatFabric, das die Malware erstmals detailliert analysierte, setzt Sturnus technisch neue Maßstäbe: Die Kommunikation mit dem Steuerungsserver erfolgt teils im Klartext, teils über RSA- und AES-Verschlüsselung. Besonders brisant ist die Fähigkeit, Inhalte aus Messenger-Apps abzugreifen, nachdem diese auf dem Gerät entschlüsselt wurden. Dazu liest Sturnus schlicht den Bildschirminhalt aus - ein Ansatz, der Verschlüsselungsmechanismen wirkungslos macht.
Der Infektionsweg beginnt mit manipulierten APK-Dateien, die sich als seriöse Anwendungen wie "Google Chrome" oder "Preemix Box" tarnen. Wie diese Dateien verteilt werden, ist bislang unklar; die Forscher vermuten aber betrügerische Werbung oder Direktnachrichten als Quelle. Nach der Installation registriert sich das Schadprogramm über einen kryptografischen Austausch beim Kontrollserver und eröffnet verschlüsselte Kanäle für Datendiebstahl sowie eine WebSocket-Verbindung für Live-Steuerung per VNC.
Besonders heimtückisch ist der ferngesteuerte VNC-Modus: Angreifer können unbemerkt tippen, scrollen, Einstellungen verändern oder Banktransaktionen ausführen, während für den Nutzer etwa ein gefälschtes System-Update-Fenster eingeblendet wird. ThreatFabric geht davon aus, dass Sturnus bisher nur in begrenztem Umfang eingesetzt wird, möglicherweise als Testlauf für größere Kampagnen. Die bisherigen Angriffe richten sich vor allem gegen Nutzer in Süd- und Mitteleuropa.
Als Schutzmaßnahme raten Experten dringend davon ab, APK-Dateien aus unbekannten Quellen zu installieren, Play Protect zu deaktivieren oder großzügig Zugriffe auf Barrierefreiheitsfunktionen zu gewähren.
Siehe auch:
Weitgehende Übernahme des Gerätes
Ebenso kann der Schädling eine nahezu vollständige Kontrolle über infizierte Geräte zu übernehmen. Obwohl die Schadsoftware nach Einschätzung der Fachleute noch in der Entwicklungsphase steckt, funktioniert sie bereits vollumfänglich und richtet sich gegen Nutzer mehrerer europäischer Finanzinstitute. Die Verbreitung erfolgt offenbar über regionsspezifische Phishing-Overlays.Laut des Sicherheitsunternehmens ThreatFabric, das die Malware erstmals detailliert analysierte, setzt Sturnus technisch neue Maßstäbe: Die Kommunikation mit dem Steuerungsserver erfolgt teils im Klartext, teils über RSA- und AES-Verschlüsselung. Besonders brisant ist die Fähigkeit, Inhalte aus Messenger-Apps abzugreifen, nachdem diese auf dem Gerät entschlüsselt wurden. Dazu liest Sturnus schlicht den Bildschirminhalt aus - ein Ansatz, der Verschlüsselungsmechanismen wirkungslos macht.
Der Infektionsweg beginnt mit manipulierten APK-Dateien, die sich als seriöse Anwendungen wie "Google Chrome" oder "Preemix Box" tarnen. Wie diese Dateien verteilt werden, ist bislang unklar; die Forscher vermuten aber betrügerische Werbung oder Direktnachrichten als Quelle. Nach der Installation registriert sich das Schadprogramm über einen kryptografischen Austausch beim Kontrollserver und eröffnet verschlüsselte Kanäle für Datendiebstahl sowie eine WebSocket-Verbindung für Live-Steuerung per VNC.
Transaktionen beim Schein-Update
Über die missbräuchliche Nutzung der Android-Barrierefreiheitsfunktionen erhält Sturnus weitreichende Befugnisse: Das Malware-Modul kann Texte auslesen, Eingaben protokollieren, Apps identifizieren, Bildschirminhalte manipulieren, Text einfügen und das Gerät navigieren. Zusätzlich verschafft es sich Administratorrechte, um Passwortänderungen zu überwachen, das Gerät zu sperren und eine Deinstallation effektiv zu verhindern.Besonders heimtückisch ist der ferngesteuerte VNC-Modus: Angreifer können unbemerkt tippen, scrollen, Einstellungen verändern oder Banktransaktionen ausführen, während für den Nutzer etwa ein gefälschtes System-Update-Fenster eingeblendet wird. ThreatFabric geht davon aus, dass Sturnus bisher nur in begrenztem Umfang eingesetzt wird, möglicherweise als Testlauf für größere Kampagnen. Die bisherigen Angriffe richten sich vor allem gegen Nutzer in Süd- und Mitteleuropa.
Als Schutzmaßnahme raten Experten dringend davon ab, APK-Dateien aus unbekannten Quellen zu installieren, Play Protect zu deaktivieren oder großzügig Zugriffe auf Barrierefreiheitsfunktionen zu gewähren.
Zusammenfassung
- Neue Malware 'Sturnus' greift verschlüsselte Messenger wie Signal an
- Banking-Trojaner kann trotz Ende-zu-Ende-Verschlüsselung Inhalte mitlesen
- Schadsoftware erlangt Kontrolle durch manipulierte APK-Dateien
- Sturnus nutzt Android-Barrierefreiheitsfunktionen für weitreichende Rechte
- Angreifer können per VNC-Modus unbemerkt Banktransaktionen durchführen
- Bedrohung zielt aktuell auf Nutzer südlicher und mitteleuropäischer Banken
- Experten raten von Installation unbekannter APK-Dateien dringend ab
Siehe auch:
Thema:
Das Google Pixel 8 im Preisvergleich
Hy-commerce NEU 
Expert.de 
TechnikDirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
-
Samsungs Galaxy-S26-Serie: Welches Smartphone ist das Richtige?
-
Magcubic HY310: Billiger Beamer versagt im Test bei Bild und Ton
-
Mobiler Beamer oder XR-Brille? - Test zeigt deutlichen Sieger
-
Magcubic HY300F: Ballförmiger Beamer ist für den WM-Spaß ungeeignet
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen