Wer heute seine Überweisungen, Daueraufträge und den täglichen Kontocheck übers Smartphone erledigt, sollte sich einen neuen Namen merken: Sturnus. So heißt ein frisch entdeckter Banking-Trojaner für Android, den Sicherheitsforscher von MTI Security und ThreatFabric inzwischen ganz oben auf ihre Beobachtungsliste gesetzt haben. 
Das Besondere – und Gefährliche – an Sturnus: Er kombiniert klassische Methoden zum Klauen von Zugangsdaten mit sehr moderner Spionage direkt auf deinem Bildschirm.
Statt sich an der starken Ende-zu-Ende-Verschlüsselung von Messengern wie WhatsApp, Signal oder Telegram abzuarbeiten, spielt Sturnus ein ganz anderes Spiel. Der Trojaner wartet geduldig, bis deine Nachrichten bereits auf dem Gerät entschlüsselt wurden und ganz normal im Chatfenster stehen – also in dem Moment, in dem sie für dich lesbar sind. Genau dann setzt er an: Er zeichnet den Bildschirminhalt auf oder macht Serien von Screenshots und schickt sie an die Angreifer. Für die Verschlüsselung ist das vollkommen unsichtbar, denn sie tut ja genau das, was sie soll. Für deine Privatsphäre ist es jedoch ein Super-GAU.
Noch heikler wird es, wenn es um Banking-Apps geht. Sturnus beherrscht das, was man aus vielen anderen Android-Bedrohungen kennt, aber in besonders fieser Ausprägung: täuschend echte Overlays. Der Trojaner kann eine gefälschte Anmeldemaske über deine echte Banking-App legen. Du glaubst, du öffnest wie immer dein Bankkonto, tippst Benutzerkennung, PIN, vielleicht noch eine TAN oder einen Freigabe-Code – in Wahrheit landen all diese Informationen direkt bei den Kriminellen. Die müssen dann nicht mehr raten oder erraten, sie bekommen deine Daten sauber und strukturiert frei Haus.
Nach Einschätzung der Forscher ist Sturnus nicht nur ein einfacher Passwortdieb, sondern ein Werkzeug, das fast die komplette Kontrolle über ein infiziertes Gerät übernehmen kann. Über weitreichende Berechtigungen, insbesondere über die Android-Hilfsdienste (Accessibility), lässt sich das Smartphone aus der Ferne bedienen: Buttons antippen, Text eingeben, durch Apps scrollen, Benachrichtigungen bestätigen. In einem typischen Szenario könnte der Angreifer die Banking-App öffnen, einen Transfer vorbereiten, eine Überweisung freigeben – und gleichzeitig den Bildschirm abdunkeln, so dass du denkst, dein Handy hätte sich aufgehängt. Während du es neu startest, ist das Geld bereits unterwegs.
Die einzig halbwegs beruhigende Nachricht: Sturnus scheint noch nicht in der ganz großen Breite unterwegs zu sein. ThreatFabric berichtet bislang von eher gezielten Testkampagnen, vor allem in Teilen Mittel- und Südeuropas. Es sieht so aus, als würden die Betreiber den Trojaner im Feld ausprobieren, Fehler ausbügeln, Funktionen nachschärfen und erst dann großflächige Angriffe planen. Für User bedeutet das: Noch ist Zeit, die eigenen Schutzmaßnahmen zu überprüfen, bevor die Welle richtig anrollt.
Für Google und die gesamte Android-Sicherheitslandschaft ist das frühe Erkennen einer neuen Malware-Familie Gold wert. Sobald ein Trojaner wie Sturnus eindeutig identifiziert ist, können Signaturen erstellt, Erkennungsroutinen trainiert und Schutzmechanismen angepasst werden. Google Play Protect, Mobile-Security-Apps und auch Banken bekommen so die Chance, verdächtige Verhaltensmuster zu blocken, bevor es massenhaft Opfer gibt. Aber: Kein Schutzsystem der Welt hilft, wenn Nutzer jede Warnung wegklicken und auf jedes beliebige Installations-Popup vertrauensvoll reagieren.
Wie landet Sturnus überhaupt auf einem Smartphone? Wer jetzt an ein offiziell gelistetes Banking-Tool im Play Store denkt, liegt wahrscheinlich falsch. Deutlich realistischer ist das übliche Bild: Ein vermeintlich praktischer Zusatz-Download von einer Streaming-Seite, ein „gecracktes“ Premium-Tool aus irgendeinem Forum, ein angebliches Sicherheitsupdate, das per Link in einer SMS oder Messenger-Nachricht kommt. Viele dieser Angebote stecken in APK-Dateien, die außerhalb des offiziellen Stores installiert werden – und genau dort warten Trojaner wie Sturnus nur darauf, dass jemand ungeduldig auf „Installieren“ tippt.
Die erste Verteidigungslinie ist deshalb wenig spektakulär, aber extrem wirksam: Disziplin bei der App-Installation. Wer seine Software ausschließlich aus dem Play Store oder aus wirklich seriösen Unternehmensquellen bezieht, schließt bereits einen Großteil der typischen Angriffswege. Die Option „Unbekannte Herkunft“ bzw. „Apps aus unbekannten Quellen“ sollte im Idealfall dauerhaft deaktiviert bleiben. Wenn eine Website dir unbedingt ein eigenes „Spezial-Tool“ aufdrängen will, damit du weiterschauen oder -spielen kannst, ist das meist eher ein Warnsignal als ein Service.
Genauso wichtig ist der Blick auf die Berechtigungen, die du Apps bereits gegeben hast. Ein kurzer Abstecher in die Android-Einstellungen reicht, um herauszufinden, welche Anwendungen Zugriff auf Barrierefreiheitsfunktionen, Bildschirmaufnahme, Benachrichtigungslesung oder „Über andere Apps einblenden“ haben. Wenn ein simplen Minigame oder ein Taschenlampen-Tool in dieser Liste auftaucht, sollte bei dir sofort die Alarmglocke klingeln. Sturnus und ähnliche Trojaner brauchen genau diese Rechte, um sich unauffällig über deine Banking-App zu legen oder still deinen Bildschirm mitzulesen.
Auf Konto-Ebene gilt: Ein einziges Passwort ist längst nicht mehr zeitgemäß. Aktiviere, wo immer möglich, Zwei-Faktor-Authentifizierung (2FA) für deine Banking-Apps, deinen Google-Account und andere finanzrelevante Dienste. Ideal sind Authenticator-Apps oder Sicherheitsschlüssel, da SMS-Codes anfällig für SIM-Swapping sind. Selbst wenn du einmal auf eine gefälschte Login-Seite hereinfällst und dein Passwort preisgibst, steht dem Angreifer so noch eine weitere Hürde im Weg – und jede zusätzliche Hürde reduziert die Zahl erfolgreicher Angriffe deutlich.
Unterschätzt wird auch heute noch, wie wichtig Updates sind. Viele Nutzer drücken die Update-Hinweise reflexartig weg, weil sie gerade „keine Zeit“ haben. Dabei stecken in diesen Aktualisierungen oft genau die Sicherheits-Patches, die bekannte Schwachstellen schließen – also jene Lücken, über die Malware wie Sturnus noch leichter an ihr Ziel käme. Wer Android- und App-Updates zeitnah einspielt, Play Protect aktiviert lässt und seine Apps nicht über Jahre veralten lässt, macht es Angreifern erheblich schwerer.
Dass ständig neue Malware-Namen durch die Schlagzeilen rauschen, führt bei vielen zu einem gewissen Sicherheits-Frust. „Schon wieder ein Trojaner für Android?“, denkt man, scrollt weiter und hakt das Thema als Panikmache ab. Genau auf diese Müdigkeit setzen die Angreifer. In dem Moment, in dem alles wie Hintergrundrauschen wirkt, sinkt die Aufmerksamkeit – und ausgerechnet dann ist der Weg zu einem schnellen, unüberlegten Klick nicht mehr weit. Es geht nicht darum, in dauernder Alarmstimmung zu leben, sondern um einen vernünftigen Mittelweg: Das Handy nicht verteufeln, aber eben auch nicht völlig blauäugig nutzen.
Sturnus zeigt sehr deutlich, wo heute die wahre Schwachstelle liegt: nicht in der Verschlüsselung, nicht im Banking-Protokoll, sondern im Zusammenspiel aus Mensch, Gerät und Gewohnheit. Angreifer müssen keine Kryptographie-Gurus sein, wenn sie den Nutzer dazu bringen können, vertrauliche Daten freiwillig in eine falsche Maske zu tippen. Die gute Nachricht: Genau hier hast du selbst am meisten Einfluss. Wenn du auf offizielle Apps setzt, dir das Sideloaden „irgendwelcher“ APKs abgewöhnst, dein System gepflegt hältst und wichtige Konten konsequent mit 2FA absicherst, verlässt du den Kreis der leichtesten Ziele.
Ob Sturnus zur nächsten großen Malware-Welle oder „nur“ zu einem weiteren Kapitel in der langen Geschichte von Android-Trojanern wird, hängt auch davon ab, wie wir als Nutzer reagieren. Ein bisschen Aufräumen bei den installierten Apps, ein Blick in die Berechtigungen, ein paar aktivierte Sicherheitsfunktionen – mehr braucht es oft nicht, damit aus einem hochgefährlichen Trojaner für dich persönlich vor allem eins bleibt: eine Warnung, die du ernst genommen hast.