[datensicherheit.de, 29.11.2025] „Sturnus“ ist laut Shane Barney, „Chief Information Officer“ bei Keeper Security, eine weitere „gefährliche Eskalation im Mobil-Betrug“, da dieser „Android“-Banking-Trojaner demnach nicht nur Anmeldedaten stiehlt und eine vollständige Übernahme des Geräts ermöglicht, sondern auch Ende-zu-Ende-verschlüsselte Chats liest, indem er Inhalte erfasst, nachdem sie auf dem Gerät entschlüsselt wurden. „Sturnus“ mache deutlich, dass Ende-zu-Ende-Verschlüsselung Daten zwar während der Übertragung schützen könne – aber eben kein kompromittiertes Gerät. Effektive Sicherheit müsse ganzheitlich angelegt sein: Barney rät zur Kombination gehärteter Endpunkte, abgesicherter Zugriffspfade und solcher Verteidigungsmechanismen, welche für ein Umfeld entwickelt wurden, in dem zunehmend Mensch und Mobilgerät ins Visier der Angreifer geraten.

„Sturnus“ missbraucht „Android“-Berechtigungen, um auszuspähen und Transaktionen in Echtzeit auszuführen

„Das ist ein wichtiger Unterschied, denn es bedeutet, dass dies kein kryptographischer Fehler von ,Signal’, ,WhatsApp’ oder ,Telegram’ ist, sondern ein Kompromittieren des Geräts selbst.“

• In der Praxis missbrauche diese Malware leistungsstarke „Android“-Berechtigungen, um den Bildschirm auszuspähen, Nachrichten zu erfassen und Transaktionen in Echtzeit auszuführen, während gleichzeitig Warnungen unterdrückt würden, welche auf Betrug hindeuten könnten.

„Frühe Aktivitäten deuten darauf hin, dass die Betreiber ,Sturnus’ in zielgerichteten Kampagnen testen.“ Die Komponenten seien bereits gut erprobt, womit eine schnelle Skalierung möglich sei, „sobald sich die Verbreitungsmethoden verbessern“.

„Sturnus“-Bedrohung: Mobile Endpunkte als hochwertige „Assets“ erkennen und behandeln

Organisations- und Sicherheitsverantwortliche sollten dringend handeln und mobile Endpunkte als hochwertige „Assets“ betrachten. Dies bedeute, unternehmensweite Kontrollrichtlinien für Mobilgeräte und App-Installationskontrollen durchzusetzen, Geräte-Attestierung und starke „Endpoint Detection“ für „Android“ zu verlangen sowie Barrierefreiheits- und Fernsteuerungsberechtigungen zu blockieren – „sofern sie nicht ausdrücklich benötigt und geprüft werden“.

• Organisationen sollten außerdem offizielle Kommunikation und regulierte Arbeitsabläufe von „Consumer Messaging“-Apps weg verlagern und sichere, unternehmensverwaltete Kommunikationslösungen einführen.

Barneys Empfehlung: „Unternehmen sollten von einer Kompromittierung ausgehen und einschränken, worauf ein Angreifer zugreifen kann, wenn ein Gerät kompromittiert ist!“ Eine starke Verwaltung privilegierter Zugriffe, Least-Privilege-Richtlinien, regelmäßige Rotation von Zugangsdaten, segmentierte Netzwerke und adaptive Multi-Faktor-Authentifizierung (MFA) könnten verhindern, „dass ein einzelnes kompromittiertes Gerät zum Einstiegspunkt in wichtige Systeme wird“.

Gefährdung durch „Sturnus“ unterstreicht Wichtigkeit der Schulung von Anwendern

Auch die Schulung der Nutzer bleibe weiterhin entscheidend – sie sollten keine Apps aus unsicheren Quellen installieren, Berechtigungen sorgfältig prüfen und unerwartete Links oder Hinweise besonders kritisch betrachten. Erkennungsregeln und mobilfokussierte Threat-Intelligence müssten aktuell gehalten werden, um mit dem Tempo dieser sich entwickelnden Angriffstaktiken Schritt zu halten.

• „Sturnus“ sei eine Erinnerung daran, dass Ende-zu-Ende-Verschlüsselung Daten während der Übertragung schütze, nicht jedoch ein kompromittiertes Gerät.

Effektive Sicherheit müsse ganzheitlich sein, indem sie gehärtete Endpunkte, abgesicherte Zugriffspfade und Verteidigungsmechanismen kombiniere, „die für ein Umfeld entwickelt wurden, in dem Angreifer zunehmend Mensch und Mobilgerät ins Visier nehmen“.

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security

KEEPER
Keeper Security Author Shane Barney

PC WELT, Hans-Christian Dirscherl, 21.11.2025
Banking-Trojaner Sturnus liest verschlüsselte Chats von Whatsapp, Signal und Telegram / Eine neue Schadsoftware für Android liest sogar die verschlüsselten Inhalte aus Whatsapp, Signal und Telegram mit und übernimmt die Kontrolle über das Handy. Das können Sie dagegen tun.

THREAT FABRIC, 20.11.2025
Sturnus: Mobile Banking Malware bypassing WhatsApp, Telegram and Signal Encryption

datensicherheit.de, 15.08.2025
LumaSpy: Android-Spyware als Bedrohung für Privatpersonen und Unternehmen / Durch diese „Android“-Spyware werden auch Unternehmen schwerwiegenden Bedrohungen ausgesetzt – da private Geräte manchmal auch Zugriff auf deren Systeme und Daten bieten

datensicherheit.de, 15.07.2025
Zimperium-Warnung vor Konfety-Malware: Angriffe auf Android-Mobilgeräte mittels neuer Variante / Zimperium-Sicherheitsexperten haben eine neue Variante der „Konfety“-Malware aufgedeckt, welche sich der Entdeckung auf „Android“-Endgeräten raffiniert entzieht

datensicherheit.de, 07.07.2025
Android-Smartphones: Bedrohungen nehmen sprunghaft zu / Sicherheitsforscher von Malwarebytes haben im ersten Halbjahr 2025 eine Zunahme von Malware für „Android“-Geräte um 151 Prozent festgestellt