So entfernen Sie Sturnus von infizierten Geräten

Was für eine Art von Malware ist Sturnus?

Sturnus ist eine Android-Malware (ein Banking-Trojaner), die ein Gerät kontrollieren kann. Sie ist in der Lage, Chat-Nachrichten zu lesen, Bankdaten durch das Anzeigen gefälschter Anmeldeseiten zu stehlen und vieles mehr. Angreifer können im Hintergrund aus der Ferne böswillige Aktionen ausführen, während der Bildschirm für das Opfer verborgen bleibt.

Sturnus im Detail

Sturnus befindet sich noch in der Testphase, ist jedoch bereits auf Banken in Europa ausgerichtet. Obwohl es sich noch in einem frühen Stadium befindet, gilt die Malware als fortschrittlicher als viele andere Bedrohungen dieser Art. Zu ihren Hauptfunktionen zählen Overlay-Angriffe, Keylogging, SMS-Abfangen, Bildschirmaufzeichnung sowie Fernzugriff und -steuerung.

Die Malware kommuniziert mit ihrem Kontrollserver über unverschlüsselte und verschlüsselte Nachrichten. Zunächst registriert sie das Gerät und erhält vom Server eine eindeutige ID und einen speziellen Schlüssel. Dann erstellt sie einen eigenen geheimen Schlüssel, verschlüsselt ihn mit dem Schlüssel des Servers und sendet ihn zurück, wobei sie gleichzeitig eine Kopie auf dem Gerät speichert. Auf diese Weise kann Sturnus geheime Nachrichten mit dem Server senden und empfangen.

Sturnus stiehlt Daten hauptsächlich auf zwei Arten: durch das Anzeigen gefälschter Anmeldebildschirme (Overlays) und durch die Verwendung eines Keyloggers, um die Tastatureingaben des Opfers aufzuzeichnen. Es kann Phishing-Seiten generieren, die wie legitime Banking-Apps aussehen. Wenn eine solche Seite aktiviert wird, öffnet sich ein WebView, das alle Eingaben des Opfers erfasst.

Nachdem die Daten gestohlen wurden, wird dieser gefälschte Bildschirm ausgeschaltet, um keinen Verdacht zu erregen. Sturnus kann auch eine schwarze Vollbild-Überlagerung anzeigen, die alles verbirgt, was gerade passiert, sodass Cyberkriminelle im Hintergrund Aktionen ausführen können, ohne dass das Opfer etwas davon bemerkt.

Die Keylogging-Funktion der Malware nutzt den Barrierefreiheitsdienst von Android aus. Sie kann Aktionen wie Tippen, Antippen und Wechseln zwischen Feldern erkennen, sodass sie eingegebenen Text erfassen und feststellen kann, mit welchen Elementen das Opfer interagiert. Außerdem kann die Malware erfassen, was auf dem Bildschirm angezeigt wird. Diese Funktionen ermöglichen es der Malware auch, PINs und Passwörter zu stehlen.

Darüber hinaus erkennt Sturnus, wenn das Opfer Apps wie WhatsApp, Signal oder Telegram öffnet. Wenn es eine dieser Apps erkennt, beginnt es, alles aufzunehmen, was auf dem Bildschirm angezeigt wird. Es kann sogar auf Nachrichten zugreifen, nachdem diese von der App entschlüsselt wurden. Das bedeutet, dass die Angreifer Kontakte, vollständige Chat-Verläufe und alle Nachrichten in Echtzeit einsehen können.

Darüber hinaus können Cyberkriminelle Sturnus nutzen, um das Gerät des Opfers aus der Ferne zu steuern. Die Malware verwendet bestimmte Techniken, mit denen Cyberkriminelle das Gerät in Echtzeit sehen und Aktionen wie Tippen, Scrollen oder das Erteilen von Berechtigungen ausführen können.

Zusätzlich zu den oben genannten Funktionen kann Sturnus Administratorrechte erwerben und verhindern, dass das Opfer diese entfernt (es kann Versuche dazu erkennen). Es kann auch Passwortänderungen, Sperrbildschirmaktivitäten, Netzwerkänderungen, SIM-Swaps, Änderungen an den Sicherheitseinstellungen und vieles mehr erkennen. Das Ziel ist es, eine Entdeckung zu vermeiden und so lange wie möglich aktiv zu bleiben.

Schlussfolgerung

Sturnus ist eine hochentwickelte Android-Malware, die sensible Daten über gefälschte Anmeldebildschirme, Keylogging und Bildschirmaufnahmen stehlen, verschlüsselte Messaging-Apps lesen und Angreifern die vollständige Fernsteuerung des Geräts ermöglichen kann. Nutzer infizierter Geräte können mit Problemen wie Kontoübernahmen, Identitätsdiebstahl, finanziellen Verlusten und anderen negativen Folgen konfrontiert werden.

Wenn Sturnus auf einem Gerät entdeckt wird, sollte es so schnell wie möglich entfernt werden. Weitere Beispiele für Android-Malware sind Landfall, Fantasy Hub und BankBot.

Wie ist Sturnus in mein Gerät gelangt?

Sturnus wird in der Regel über Social-Engineering-Methoden verbreitet. Angreifer versenden gefälschte E-Mails, in denen sie Benutzer dazu auffordern, eine schädliche App herunterzuladen. Außerdem verwenden sie betrügerische SMS-Nachrichten mit Links, die die Opfer zu der Malware führen. Darüber hinaus setzen sie auf scheinbar legitime Apps, sogenannte Dropper, die Sturnus unbemerkt vom Benutzer herunterladen und installieren.

Wie kann man die Installation von Malware vermeiden?

Laden Sie Apps nur von vertrauenswürdigen Quellen wie offiziellen Seiten oder Google Play herunter. Halten Sie das Betriebssystem und die Apps auf dem neuesten Stand und führen Sie regelmäßig ein seriöses Sicherheitstool aus, um nach Bedrohungen zu suchen. Öffnen Sie keine Dateien und klicken Sie nicht auf Links in E-Mails, Nachrichten oder Texten, die Sie nicht erwartet haben. Seien Sie auch vorsichtig mit Anzeigen, Links und Pop-ups auf unzuverlässigen oder verdächtigen Websites.

Gefälschtes Overlay-Fenster zum Stehlen sensibler Informationen (Quelle: threatfabric.com):

Ein gefälschtes Fenster, das dazu dient, Hintergrundaktivitäten zu verbergen (Quelle: threatfabric.com):

Schnellmenü:

• Einleitung
• Wie kann man den Browserverlauf aus dem Chrome-Webbrowser löschen?
• Wie deaktiviert man Browser-Benachrichtigungen im Chrome-Webbrowser?
• Wie setzt man den Chrome-Webbrowser zurück?
• Wie löscht man den Browserverlauf aus dem Firefox-Webbrowser?
• Wie deaktiviert man Browser-Benachrichtigungen im Firefox-Webbrowser?
• Wie setzt man den Firefox-Webbrowser zurück?
• Wie kann man potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren?
• Wie starte ich das Android-Gerät im „abgesicherten Modus“?
• Wie kann man den Batterieverbrauch verschiedener Anwendungen überprüfen?
• Wie kann man den Datenverbrauch verschiedener Anwendungen überprüfen?
• Wie installiere ich die neuesten Software-Updates?
• Wie kann man das System auf den Standardzustand zurücksetzen?
• Wie kann man Anwendungen mit Administratorrechten deaktivieren?

Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Verlauf“ aus.

Tippen Sie auf „Browsingdaten löschen“, wählen Sie die Registerkarte „ERWEITERT“, wählen Sie den Zeitbereich und die Datentypen, die Sie löschen möchten, und tippen Sie auf „Daten löschen“.

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Browser-Benachrichtigungen im Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie „Einstellungen“ im sich öffnenden Dropdown-Menü.

Scrollen Sie nach unten, bis Sie die Option „Website-Einstellungen“ sehen, und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option „Benachrichtigungen“ sehen, und tippen Sie darauf.

Suchen Sie die Websites, die Browser-Benachrichtigungen senden, tippen Sie darauf und klicken Sie auf „Löschen & zurücksetzen“. Dadurch werden die Berechtigungen für diese Websites zum Senden von Benachrichtigungen entfernt. Wenn Sie jedoch dieselbe Website erneut besuchen, wird möglicherweise erneut um eine Berechtigung gebeten. Sie können wählen, ob Sie diese Berechtigungen erteilen möchten oder nicht (wenn Sie sich dagegen entscheiden, wird die Website in den Bereich „Blockiert“ verschoben und fragt Sie nicht mehr nach der Berechtigung).

[Zurück zum Inhaltsverzeichnis]

Chrome-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung „Chrome“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.

Tippen Sie auf „SPEICHER VERWALTEN“, dann auf „ALLE DATEN LÖSCHEN“ und bestätigen Sie die Aktion durch Tippen auf „OK“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich erneut bei allen Websites anmelden.

[Zurück zum Inhaltsverzeichnis]

Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie „Verlauf“ im sich öffnenden Dropdown-Menü.

Scrollen Sie nach unten, bis Sie „Private Daten löschen“ sehen, und tippen Sie darauf. Wählen Sie die Datentypen aus, die Sie entfernen möchten, und tippen Sie auf „DATEN LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:

Besuchen Sie die Website, die Browser-Benachrichtigungen sendet, tippen Sie auf das Symbol links neben der URL-Leiste (das Symbol muss nicht unbedingt „Sperren” lauten) und wählen Sie „Website-Einstellungen bearbeiten”.

Wählen Sie im geöffneten Pop-up-Fenster die Option „Benachrichtigungen“ und tippen Sie auf „LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Den Firefox-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung „Firefox“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.

Tippen Sie auf „DATEN LÖSCHEN“ und bestätigen Sie den Vorgang durch Tippen auf „LÖSCHEN“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich erneut bei allen Websites anmelden.

[Zurück zum Inhaltsverzeichnis]

Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder schädliche Anwendung sehen, wählen Sie diese aus und tippen Sie auf „Deinstallieren“. Wenn Sie die ausgewählte App aus irgendeinem Grund nicht entfernen können (z. B. wenn eine Fehlermeldung angezeigt wird), sollten Sie den „abgesicherten Modus“ verwenden.

[Zurück zum Inhaltsverzeichnis]

Starten Sie das Android-Gerät im „abgesicherten Modus“:

Der „abgesicherte Modus” im Android-Betriebssystem deaktiviert vorübergehend die Ausführung aller Anwendungen von Drittanbietern. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu beheben (z. B. das Entfernen bösartiger Anwendungen, die Sie daran hindern, dies zu tun, wenn das Gerät „normal” läuft).

Drücken Sie die Taste „Power“ und halten Sie sie gedrückt, bis der Bildschirm „Power off“ angezeigt wird. Tippen Sie auf das Symbol „Ausschalten“ und halten Sie es gedrückt. Nach einigen Sekunden erscheint die Option „Abgesicherter Modus“, die Sie durch einen Neustart des Geräts ausführen können.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie den Batterieverbrauch verschiedener Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Gerätewartung“ sehen, und tippen Sie darauf.

Tippen Sie auf „Akku“ und überprüfen Sie den Verbrauch der einzelnen Anwendungen. Seriöse/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um die bestmögliche Benutzererfahrung zu bieten und Strom zu sparen. Ein hoher Akkuverbrauch kann daher darauf hindeuten, dass es sich um eine schädliche Anwendung handelt.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie die Datennutzung verschiedener Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Verbindungen“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Datennutzung“ sehen, und wählen Sie diese Option aus. Wie beim Akku sind legitime/echte Anwendungen so konzipiert, dass sie die Datennutzung so weit wie möglich minimieren. Das bedeutet, dass eine hohe Datennutzung auf das Vorhandensein einer bösartigen Anwendung hindeuten kann. Beachten Sie, dass einige bösartige Anwendungen möglicherweise so konzipiert sind, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die WLAN-Datennutzung überprüfen.

Wenn Sie eine Anwendung finden, die viel Datenvolumen verbraucht, obwohl Sie sie nie nutzen, empfehlen wir Ihnen dringend, sie so schnell wie möglich zu deinstallieren.

[Zurück zum Inhaltsverzeichnis]

Installieren Sie die neuesten Software-Updates:

Die Software auf dem neuesten Stand zu halten, ist eine bewährte Vorgehensweise, wenn es um die Sicherheit von Geräten geht. Die Gerätehersteller veröffentlichen kontinuierlich verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen ausgenutzt werden können. Ein veraltetes System ist wesentlich anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Software-Update“ sehen, und tippen Sie darauf.

Tippen Sie auf „Updates manuell herunterladen” und überprüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie diese sofort. Wir empfehlen außerdem, die Option „Updates automatisch herunterladen” zu aktivieren. Damit wird das System Sie benachrichtigen, sobald ein Update verfügbar ist, und/oder dieses automatisch installieren.

[Zurück zum Inhaltsverzeichnis]

Das System auf den Standardzustand zurücksetzen:

Das Durchführen eines „Zurücksetzen auf Werkseinstellungen” ist eine gute Möglichkeit, alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardeinstellungen zurückzusetzen und das Gerät insgesamt zu bereinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät gespeichert sind, nicht auf der SIM-Karte), SMS-Nachrichten usw. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.

Sie können auch die grundlegenden Systemeinstellungen und/oder einfach nur die Netzwerkeinstellungen wiederherstellen.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Über das Telefon“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Zurücksetzen“ sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie ausführen möchten:
„ Einstellungen zurücksetzen“ – alle Systemeinstellungen auf die Standardeinstellungen zurücksetzen;
„Netzwerkeinstellungen zurücksetzen“ – alle netzwerkbezogenen Einstellungen auf die Standardeinstellungen zurücksetzen;
„Auf Werkseinstellungen zurücksetzen“ – das gesamte System zurücksetzen und alle gespeicherten Daten vollständig löschen;

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:

Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Apps über solche Rechte verfügen, und diejenigen deaktivieren, die diese Rechte nicht haben sollten.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Bildschirmsperre und Sicherheit“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Weitere Sicherheitseinstellungen“ sehen, tippen Sie darauf und anschließend auf „Geräteadministrator-Apps“.

Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie darauf und anschließend auf „DEAKTIVIEREN“.

Häufig gestellte Fragen (FAQ)

Mein Gerät ist mit der Sturnus-Malware infiziert. Sollte ich mein Speichermedium formatieren, um sie zu entfernen?

Eine vollständige Formatierung des Geräts ist in der Regel nicht erforderlich. Bedrohungen wie Sturnus können oft mit Hilfe von seriösen Antiviren- oder Anti-Malware-Tools wie Combo Cleaner entfernt werden.

Was sind die größten Probleme, die Malware verursachen kann?

Je nach Art kann Malware sensible Informationen stehlen, andere Schadprogramme installieren, Dateien verschlüsseln, die Systemleistung beeinträchtigen und andere schädliche Aktivitäten ausführen.

Was ist der Zweck von Sturnus?

Sturnus wurde entwickelt, um Finanzdaten zu stehlen und Angreifern die vollständige Kontrolle über infizierte Android-Geräte zu verschaffen, hauptsächlich um Bankbetrug zu begehen.

Wie ist Sturnus in mein Gerät gelangt?

Sturnus ist wahrscheinlich über eine Phishing-E-Mail, eine Smishing-SMS oder einen Dropper, der sich als legitime Anwendung ausgibt, auf Ihr Gerät gelangt.

Schützt mich Combo Cleaner vor Malware?

Combo Cleaner kann die meisten bekannten Malware-Programme erkennen und entfernen. Da sich einige hochentwickelte Bedrohungen jedoch tief im System verbergen können, ist es wichtig, einen vollständigen Systemscan durchzuführen, um eine vollständige Entfernung sicherzustellen.