Der neu identifizierte Android-Banking-Trojaner Sturnus, erstmals von ThreatFabric beschrieben, hebt Angriffe auf Mobile Banking auf ein neues Niveau. Die Malware kombiniert klassische Funktionen eines Bank-Trojaners mit einem vollwertigen Remote-Access-Tool (RAT) auf Basis von VNC und kann verschlüsselte Messenger-Chats auf Geräteebene mitlesen.
Was den Banking-Trojaner Sturnus so gefährlich macht
Sturnus gehört zur Familie der Android-Bankingtrojaner, deren Kernziel die Kompromittierung von Bank- und Zahlungs-Apps ist. Anders als ältere Familien, die primär auf gefälschte Overlays setzen, verlagert Sturnus den Fokus auf vollständige Fernsteuerung des Geräts. Damit verschwimmen die Grenzen zwischen Banking-Malware, Spionage-Tool und Remote-Administration-Kit.
Die Schadsoftware missbraucht Android-Accessibility-Funktionen, erlangt Administratorrechte auf dem Gerät, liest Bildschirminhalte aus und nutzt VNC, um jede Benutzeraktion zu simulieren. Aus Sicht der Angreifer wird das Smartphone so zu einem offenen Remote-Terminal, auf dem sie Transaktionen durchführen, Einstellungen ändern und zusätzliche Malware installieren können.
Infektionsweg: Gefälschte APKs und versteckte Kampagnen
Die Verbreitung beginnt typischerweise mit einem manuell installierten APK, das sich als legitime App tarnt. ThreatFabric dokumentierte unter anderem Fakes von Google Chrome (Paketname com.klivkfbky.izaybebnx) und der App Preemix Box (com.uvxuthoq.noscjahae). Oberfläche und Icon sind oft so gestaltet, dass sie für Laien authentisch wirken.
Konkrete Kampagnen sind noch begrenzt dokumentiert, doch das Muster entspricht bekannten Familien wie TeaBot oder Anubis: mutmaßlich kommen Malvertising-Kampagnen, manipulierte Download-Seiten sowie Direktlinks zu APK-Dateien über Messenger, soziale Netzwerke und SMS zum Einsatz. Studien zeigen, dass Social-Engineering-Kanäle im Mobilbereich weiterhin zu den erfolgreichsten Infektionsvektoren zählen (u. a. Verizon DBIR, ENISA Threat Landscape).
Kommandostruktur, Verschlüsselung und VNC-Remote-Zugriff
Sturnus setzt auf eine mehrschichtige Command-and-Control-Architektur, in der unterschiedliche Verschlüsselungsverfahren kombiniert werden. Die Kommunikation mit den C2-Servern nutzt eine Mischung aus Klartext, RSA– und AES-Verschlüsselung, um sowohl Flexibilität als auch Verschleierung gegenüber Netzwerkanalysen zu erreichen.
Zwei parallele C2-Kanäle für Steuerung und Live-Zugriff
Der erste Kanal läuft über HTTPS und dient dem Empfang von Befehlen sowie der Exfiltration von Gerätedaten und erfassten Informationen. Parallel baut Sturnus einen zweiten, WebSocket-basierten und zusätzlich per AES geschützten Kanal auf, der für VNC-Sitzungen in Echtzeit genutzt wird. Diese Trennung erschwert die Erkennung anhand von Traffic-Mustern und erlaubt den Betreibern eine flexible Lastverteilung.
In der Praxis können Angreifer dadurch nahezu latenzfrei auf das kompromittierte Smartphone zugreifen, Tastatureingaben ausführen, Apps öffnen, Sicherheitsabfragen bestätigen und Sicherheitsmechanismen des mobilen Betriebssystems gezielt umgehen.
Umgehung von Ende-zu-Ende-Verschlüsselung in WhatsApp, Telegram und Signal
Eine zentrale Eigenschaft von Sturnus ist die Fähigkeit, Messenger-Inhalte trotz Ende-zu-Ende-Verschlüsselung (E2EE) mitzulesen. Die Malware bricht dabei weder die Kryptografie noch greift sie Schlüssel an, sondern setzt an der verwundbarsten Stelle an: dem bereits entschlüsselten Inhalt auf dem Endgerät.
Durch den Missbrauch des Android Accessibility Service kann Sturnus Bildschirminhalte, Chatlisten, Kontakte, eingehende und ausgehende Nachrichten sowie Benachrichtigungen auslesen. Damit illustriert der Trojaner eine systemische Schwachstelle: Ist das Endgerät kompromittiert, kann E2EE den Schutz der Kommunikation nicht mehr gewährleisten. Genau dies wird in mehreren Branchenreports als einer der dominierenden Faktoren für erfolgreiche Angriffe auf mobile Infrastrukturen hervorgehoben.
Manipulation von Banking-Apps mittels VNC und Overlay-Techniken
Sobald die Kontrolle über das Gerät etabliert ist, starten die Operatoren eine VNC-Sitzung und übernehmen die Rolle des legitimen Nutzers. In kritischen Phasen, typischerweise beim Zugriff auf Banking- oder Zahlungs-Apps, blendet Sturnus einen schwarzen Vollbild-Overlay ein. Der Anwender sieht nur einen vermeintlich eingefrorenen oder leeren Bildschirm, während im Hintergrund Transaktionen durchgeführt werden.
Auf diese Weise können Angreifer Überweisungen initiieren, Push-TANs bestätigen, Limits erhöhen, neue Empfänger anlegen oder zusätzliche Geräte im Onlinebanking aktivieren. Durch die vorher erteilten Administratorrechte erschwert Sturnus zudem die Deinstallation: Selbst per ADB kann die Malware die Entfernung blockieren, solange die Admin-Privilegien nicht manuell entzogen werden.
Zielregionen und strategische Ausrichtung der Kampagnen
Aktuell richten sich die beobachteten Kampagnen laut ThreatFabric vor allem gegen Finanzinstitute in Europa, mit einem Schwerpunkt auf Ländern in Zentral- und Südeuropa. Sturnus nutzt länderspezifische Overlay-Templates, die sich an den Oberflächen regionaler Banking- und Zahlungs-Apps orientieren, um die Glaubwürdigkeit der Angriffe zu erhöhen.
Die bislang begrenzte Verbreitung legt nahe, dass sich die Betreiber noch in einer Test- und Optimierungsphase befinden. Dieses Vorgehen ist bei Android-Banking-Trojanern etablierte Praxis: Zunächst werden Taktiken in kleineren Kampagnen erprobt, bevor bei ausreichendem Erfolg ein schnelles Skalieren auf weitere Regionen und Banken erfolgt.
Um das Risiko durch Sturnus und vergleichbare Android-Banking-Trojaner zu minimieren, sollten sowohl Privatanwender als auch Unternehmen zentrale Grundregeln umsetzen: Apps ausschließlich aus vertrauenswürdigen Quellen beziehen und die Installation aus unbekannten Quellen deaktivieren; regelmäßig prüfen, welche Anwendungen Zugriff auf Accessibility Services und Administratorrechte haben, und unbekannten Apps diese Rechte konsequent entziehen; mobile Sicherheitslösungen (Antivirus, MTD/EDR) einsetzen, die verdächtige Berechtigungsanforderungen und C2-Kommunikation erkennen können; in Unternehmen Schulungen etablieren, die typische Social-Engineering-Muster, gefälschte APKs und die Risiken von Accessibility-Rechten verständlich erläutern. Da moderne Banking-Trojaner wie Sturnus faktisch als Kombination aus Trojaner, Spionagewerkzeug und Remote-Admin-Tool agieren, wird ein ganzheitlicher Schutz von Endgeräten – von restriktiven App-Policies über Mobile-Device-Management bis hin zu kontinuierlichem Monitoring – zur zentralen Verteidigungslinie im mobilen Banking-Ökosystem.
