Diese Schadsoftware ist so hartnäckig, dass sie sich nach der Installation kaum noch vom Smartphone entfernen lässt.

Sicherheitsforscher warnen vor einem neuen Banking-Trojaner für Android, der es in sich hat. Die Malware mit dem Namen „Sturnus“ ist darauf spezialisiert, die vollständige Kontrolle über infizierte Geräte zu erlangen, um an sensible Daten zu gelangen.

Sturnus übernimmt Android-Smartphones

Entdeckt wurde die Schadsoftware vom Sicherheitsunternehmen Threatfabric, das sie als eine ernstzunehmende Bedrohung einstuft. Besonders heikel ist, dass der Trojaner nicht nur Daten von Sparkassen und anderen Banken im Visier hat – er kann auch verschlüsselte Chat-Nachrichten aus Messengern wie WhatsApp, Signal oder Telegram mitlesen.

Dabei bricht die Software die Verschlüsselung nicht, sondern nutzt einen simplen Trick: Sie liest die Nachrichten direkt vom Display ab, sobald ihr sie euch anseht. In diesem Moment liegen die Texte unverschlüsselt vor. Sturnus kann aber noch mehr und operiert heimlich im Hintergrund. So können Angreifer einen schwarzen Bildschirm-Overlay aktivieren, während sie unbemerkt Apps starten und Daten auslesen, ohne dass die Opfer etwas davon mitbekommen.

Die Hauptaufgabe des Trojaners besteht darin, Zugangsdaten für Banking-Apps zu stehlen, die auf Finanzinstitute in Süd- und Mitteleuropa abzielen. Dafür nutzt Sturnus gefälschte Anmeldemasken, die über die echten Anwendungen gelegt werden. Öffnet ein Nutzer beispielsweise seine Banking-App, blendet die Malware ein identisch aussehendes Fenster ein und fordert zur Eingabe der Zugangsdaten auf. Diese werden dann direkt an die Angreifer weitergeleitet.

Auf Zugriffsrechte achten

Um all das tun zu können, fordert die Schadsoftware weitreichende Zugriffsrechte an, insbesondere auf die Bedienungshilfen von Android und Geräte-Adminrechte. Hat ein Nutzer diese einmal erteilt, verteidigt der Trojaner seinen Status vehement.

Er verhindert aktiv, dass ihm die Rechte wieder entzogen werden, indem er den Nutzer automatisch aus den entsprechenden Einstellungsmenüs wirft. Laut den Forschern wird sogar eine manuelle Deinstallation über Entwickler-Tools blockiert. Bisher wurde die Malware als gefälschte Version von Google Chrome sowie als App namens „Preemix Box“ entdeckt.

So könnt ihr euch vor der Malware schützen

Der wirksamste Schutz besteht darin, die Installation solcher Apps von vornherein zu verhindern. Die wichtigste Regel lautet daher, Anwendungen ausschließlich aus vertrauenswürdigen Quellen wie dem Google Play Store zu beziehen und keine Software aus unbekannten Links oder Webseiten zu installieren.

Seid zudem extrem vorsichtig, wenn eine App um weitreichende Berechtigungen bittet – vornehmlich der Zugriff auf die Bedienungshilfen oder Geräte-Adminrechte sollte ein Warnsignal sein. Prüft genau, ob eine Anwendung diese Rechte wirklich für ihre Funktion benötigt. Haltet außerdem das Android-Betriebssystem und alle Apps stets auf dem neuesten Stand, um bekannte Sicherheitslücken zu schließen.