Sicherheitsforscher warnen vor einer neuen, hochentwickelten Schadsoftware für Android-Smartphones. Der Trojaner mit dem Namen „Sturnus“ ist in der Lage, die Ende-zu-Ende-Verschlüsselung populärer Messenger-Dienste wie WhatsApp, Signal und Telegram zu umgehen und private Nachrichten in Echtzeit mitzulesen.
Die Malware greift dabei nicht die Verschlüsselung selbst an, sondern nutzt eine Schwachstelle im Betriebssystem, um alles zu erfassen, was auf dem Bildschirm des Geräts angezeigt wird. Neben privaten Chats können so auch Bankdaten und andere sensible Informationen in die Hände von Cyberkriminellen gelangen.
Das Wichtigste in Kürze
- Ein neuer Android-Trojaner namens Sturnus kann Nachrichten aus verschlüsselten Apps wie Signal, WhatsApp und Telegram lesen.
- Die Malware bricht nicht die Verschlüsselung, sondern zeichnet den Bildschirminhalt über die Bedienungshilfen von Android auf.
- Sturnus kann auch Bankdaten stehlen und die volle Kontrolle über das infizierte Gerät erlangen.
- Die Verbreitung erfolgt unter anderem über gefälschte Google Chrome-Updates aus nicht vertrauenswürdigen Quellen.
Ein Trojaner, der über die Schulter schaut
Die Sicherheit von Messengern wie Signal und WhatsApp basiert auf der Ende-zu-Ende-Verschlüsselung. Diese stellt sicher, dass nur der Sender und der Empfänger eine Nachricht lesen können. Doch die neue Schadsoftware Sturnus hebelt diesen Schutz auf eine ebenso einfache wie effektive Weise aus.
Anstatt zu versuchen, den komplexen Verschlüsselungsalgorithmus zu knacken, greift der Trojaner an einem viel späteren Punkt an: direkt auf dem Gerät des Nutzers. Sobald eine Nachricht empfangen und für den Nutzer auf dem Bildschirm sichtbar gemacht wird, ist sie entschlüsselt. Genau in diesem Moment schlägt Sturnus zu.
Die Rolle der Bedienungshilfen
Die „Accessibility Services“ oder Bedienungshilfen von Android sind eigentlich dafür gedacht, Menschen mit Behinderungen die Nutzung von Smartphones zu erleichtern. Sie können beispielsweise Bildschirminhalte vorlesen oder Aktionen automatisieren. Cyberkriminelle missbrauchen diese mächtigen Werkzeuge jedoch zunehmend, um Malware weitreichende Berechtigungen auf einem Gerät zu verschaffen.
Sicherheitsanalysten von ThreatFabric, die den Trojaner entdeckt haben, bestätigen, dass Sturnus sich Zugriff auf diese Bedienungshilfen verschafft. Einmal aktiviert, kann die Malware alles protokollieren, was auf dem Display erscheint. Dazu gehören nicht nur ein- und ausgehende Nachrichten, sondern auch Kontaktlisten und ganze Chatverläufe.
Mehr als nur ein Spion in der Tasche
Die Fähigkeiten von Sturnus gehen weit über das Mitlesen von Nachrichten hinaus. Die Forscher klassifizieren die Software als Banking-Trojaner, der darauf ausgelegt ist, finanzielle Daten zu stehlen. Einmal auf einem Gerät aktiv, kann die Malware Anmeldeinformationen für Online-Banking-Apps abgreifen und Transaktionen manipulieren.
Die Gefahr wird durch die Fähigkeit der Malware verstärkt, sich tief im System zu verankern und die volle Kontrolle über das Smartphone zu übernehmen. Dies macht sie besonders heimtückisch, da der Nutzer oft nicht bemerkt, dass sein Gerät kompromittiert wurde.
„Die Fähigkeit, Nachrichten von Ende-zu-Ende-verschlüsselten Plattformen wie Signal zu stehlen, könnte für Organisationen ernsthafte Probleme bedeuten, da diese Anwendungen in mehreren Branchen zur Sicherung sensibler oder vertraulicher Informationen verwendet werden.“
Aditya Sood, Vizepräsident für Security Engineering bei Aryaka, warnt davor, dass Sturnus eine neue Generation von Bedrohungen darstellt. Die Malware kommuniziert mit ihrem Kontrollserver über eine komplexe Mischung aus unverschlüsselten und verschlüsselten Verbindungen (RSA und AES), was ihre Entdeckung durch Sicherheitssysteme erheblich erschwert.
Verbreitung über gefälschte Updates
Eine der bekannten Verbreitungsmethoden für den Sturnus-Trojaner ist die Tarnung als legitimes Update für populäre Anwendungen. Berichten zufolge wurde die Malware bereits in gefälschten Installationspaketen für den Google Chrome Browser gefunden, die außerhalb des offiziellen Google Play Stores angeboten wurden.
Dies unterstreicht eine grundlegende Sicherheitsregel: Software sollte ausschließlich aus vertrauenswürdigen Quellen wie dem offiziellen App-Store des Herstellers heruntergeladen werden. Die Installation von Apps aus unbekannten Quellen birgt ein hohes Risiko.
Die goldene Regel der Gerätesicherheit
Ein kompromittiertes Gerät kann niemals als sicher betrachtet werden. Selbst die stärkste Verschlüsselung ist nutzlos, wenn eine Schadsoftware bereits vollen Zugriff auf das System hat und Daten auslesen kann, bevor sie verschlüsselt oder nachdem sie entschlüsselt wurden.
Wie man sich vor Sturnus schützen kann
Obwohl die Bedrohung durch Sturnus ernst ist, können Nutzer mehrere Schritte unternehmen, um das Risiko einer Infektion zu minimieren. Ein Patentrezept gibt es nicht, aber eine Kombination aus technischen Vorkehrungen und umsichtigem Verhalten bietet den besten Schutz.
Experten empfehlen die folgenden Maßnahmen:
- Apps nur aus dem Google Play Store laden: Vermeiden Sie App-Stores von Drittanbietern und das Herunterladen von APK-Dateien von unbekannten Webseiten.
- Google Play Protect aktivieren: Dieser integrierte Sicherheitsdienst von Google scannt Apps auf bekannte Schadsoftware und sollte immer aktiv sein.
- Berechtigungen kritisch prüfen: Seien Sie äußerst vorsichtig, wenn eine App die Aktivierung der Bedienungshilfen anfordert. Erteilen Sie diese weitreichende Erlaubnis nur, wenn Sie der App und ihrem Zweck zu 101 % vertrauen.
- System-Updates installieren: Halten Sie das Android-Betriebssystem und alle installierten Apps immer auf dem neuesten Stand, um bekannte Sicherheitslücken zu schließen.
- Misstrauisch bei Pop-ups sein: Klicken Sie nicht auf Warnmeldungen oder Update-Aufforderungen, die in Webseiten oder anderen Apps erscheinen. Führen Sie Updates immer über den Play Store oder die Systemeinstellungen durch.
Die Entdeckung von Sturnus ist eine wichtige Erinnerung daran, dass digitale Sicherheit ein fortlaufender Prozess ist. Während Verschlüsselungstechnologien ein entscheidender Baustein sind, hängt der Schutz sensibler Daten letztlich von der Sicherheit des gesamten Geräts ab.
