Der neue Banking-Trojaner Sturnus zielt auf Android-Smartphones, greift Bankdaten ab und verschafft Angreifern weitreichende Kontrolle über das infizierte Gerät. Nach
Angaben der Forschenden von MTI Security und des Sicherheitsunternehmens Threatfabric nutzt die Malware täuschend echte Overlay-Fenster, die über legitime Banking-Apps gelegt werden, um Zugangsdaten abzufangen. Ausserdem sollen Kriminelle das Gerät aus der Ferne steuern, Nutzeraktionen beobachten, Texte einfügen und den Bildschirm abdunkeln können, während im Hintergrund Überweisungen oder andere Betrugstransaktionen laufen, ohne dass das Opfer etwas bemerkt.
Besonders heikel ist laut Analyse, dass Sturnus auch verschlüsselte Messenger wie
Whatsapp,
Telegram und
Signal ins Visier nimmt. Die Schadsoftware überwache, welche App im Vordergrund läuft, und lese über den Android-Dienst für Bedienungshilfen alles mit, was auf dem Bildschirm angezeigt werde. So könne sie Kontaktlisten, komplette Gesprächsverläufe und Inhalte ein- und ausgehender Nachrichten erfassen, nachdem diese von
Whatsapp, Telegram oder Signal auf dem Gerät entschlüsselt wurden. Die Ende-zu-Ende-Verschlüsselung der Dienste werde damit nicht geknackt, aber effektiv umgangen, weil Sturnus die Nachrichten in dem Moment abgreift, in dem sie für die Nutzerinnen und Nutzer lesbar sind.
Die Experten von Threatfabric stufen die Kampagne noch als frühe Entwicklungs- oder Testphase ein, sehen Sturnus aber bereits gezielt für Angriffe auf Finanzinstitute in Süd- und Mitteleuropa vorbereitet, inklusive regionsspezifischer Phishing-Oberflächen. Gleichzeitig sorge die Malware mit Geräteadministratorrechten, umfangreichem Keylogging und ständiger Überwachung von Systemereignissen dafür, dass sie schwer zu entfernen sei und sich an unterschiedliche Umgebungen anpassen könne. Nach Einschätzung der Sicherheitsforscher entsteht so eine umfassende Bedrohung, die sowohl die finanzielle Sicherheit als auch die Privatsphäre der Betroffenen ernsthaft gefährdet.
(dow)
