Neue Malware zielt auf Banking-Apps und Messenger
Android-Trojaner Sturnus liest verschlüsselte Chats mit
Eine neue Android-Schadsoftware mit dem Namen Sturnus soll laut Sicherheitsforschern in der Lage sein, sogar verschlüsselte Nachrichten aus Messenger-Diensten abzugreifen. Im Fokus steht jedoch vor allem der Diebstahl von Bankdaten.
Sicherheitsforscher des Unternehmens Threatfabric warnen vor einer neuen Android-Malware mit dem Namen Sturnus. Diese Schadsoftware soll Angreifern eine umfassende Kontrolle über infizierte Geräte ermöglichen. Besonders kritisch: Selbst verschlüsselte Chatnachrichten aus Diensten wie Signal, Tel...
Sicherheitsforscher des Unternehmens Threatfabric warnen vor einer neuen Android-Malware mit dem Namen Sturnus. Diese Schadsoftware soll Angreifern eine umfassende Kontrolle über infizierte Geräte ermöglichen. Besonders kritisch: Selbst verschlüsselte Chatnachrichten aus Diensten wie Signal, Telegram oder WhatsApp könnten laut Analyse mitgelesen werden.
Ablesen direkt vom Bildschirm
Die Nachrichten würden dabei nicht aus dem Gerätespeicher extrahiert, sondern im entschlüsselten Zustand direkt vom Bildschirm abgelesen. Normalerweise sei dies nur möglich, wenn Nutzer die jeweiligen Chats aktiv geöffnet haben. Doch laut Bericht soll Sturnus auch im Hintergrund arbeiten und Inhalte unbemerkt erfassen.
Blackout-Funktion für unbemerkte Aktionen
Ein zentrales Merkmal der Malware sei ein sogenanntes Block Overlay, das das Display vollständig schwarz erscheinen lasse. Währenddessen könnten im Hintergrund Aktionen ausgeführt werden – etwa das Öffnen von Apps oder das Auslesen sichtbarer Informationen – ohne dass Nutzer davon etwas mitbekämen.
Zugangsdaten durch Fake-Anmeldemasken
Ziel der Malware sei es primär, Zugangsdaten für Online-Banking-Apps zu stehlen. Dies geschehe über nachgeahmte Anmeldemasken, die als Overlay über regulären Apps angezeigt würden. Nutzer könnten so dazu verleitet werden, ihre sensiblen Daten selbst einzugeben.
Verstecktes Eindringen und schwer zu entfernen
Wie genau Sturnus auf die Geräte gelangt, sei bislang unklar. Die Malware soll jedoch auf die sogenannten Accessibility Services von Android angewiesen sein und umfangreiche Adminrechte benötigen. Einmal installiert, versuche sie laut Bericht, sich gegen eine Deinstallation zu wehren – etwa durch das automatische Schließen von Systemeinstellungen oder durch die Blockade externer Deinstallationstools wie ADB.
Noch in Entwicklung, aber bereits aktiv
Obwohl sich die Malware laut Threatfabric noch in einer frühen Entwicklungsphase befinde, soll sie bereits voll funktionsfähig sein. Ziel seien offenbar Banking-Anwendungen mehrerer Finanzinstitute aus Süd- und Mitteleuropa. Genauere Angaben zu betroffenen Banken oder konkreten Verbreitungswegen machten die Forscher bisher nicht. In den untersuchten Fällen handelte es sich unter anderem um gefälschte Versionen von Google Chrome und einer App namens Preemix Box.
