- Sturnus hè un trojan bancariu per Android chì arrubba credenziali è intercetta i missaghji da app criptate cum'è WhatsApp, Telegram è Signal.
- Abusu u Serviziu d'Accessibilità Android per leghje tuttu ciò chì hè nantu à u screnu è cuntrullà u dispusitivu à distanza utilizendu sessioni di tipu VNC.
- Hè distribuitu cum'è un APK maliziosu chì si maschera da app ben cunnisciute (per esempiu, Google Chrome) è hà cum'è scopu principalmente e banche in l'Europa Centrale è Meridionale.
- Impiega cumunicazioni criptate (HTTPS, RSA, AES, WebSocket) è dumanda privilegi d'amministratore per rimanere persistente è cumplicà a so rimuzione.
Un Novu Trojan bancariu per Android chjamatu Sturnus hà accesu u allarmi in u settore europeu di a cibersigurtàStu malware ùn hè micca solu cuncipitu per arrubà credenziali finanziarie, ma hè ancu capace di leghje e conversazioni WhatsApp, Telegram è Signal è piglià u cuntrollu guasi cumpletu di u dispusitivu infettatu.
A minaccia, identificata da i circadori ThreatFabric è l'analisti citati da BleepingComputer, sò sempre in un fase di implementazione inizialema digià dimostra un livellu inusual di sofisticazioneAncu s'è e campagne rilevate finu à avà sò limitate, l'esperti temenu ch'elle sianu testi prima di una offensiva à più grande scala contr'à l'utilizatori di Banca mobile in Europa Centrale è Meridionale.
Chì ghjè Sturnus è perchè causa tanta preoccupazione ?
Sturnus hè un trojan bancariu per Android chì combina parechje capacità periculose in un unicu pacchettu: furtu di credenziali finanziarie, spionaggio di app di messageria criptate è cuntrollu remotu di u telefunu cù tecniche avanzate di accessibilità.
Sicondu l'analisi tecnica publicata da ThreatFabricU malware hè sviluppatu è operatu da una sucietà privata cù un approcciu chjaramente prufessiunale. Ancu s'è u codice è l'infrastruttura parenu sempre in evoluzione, i campioni analizati sò cumpletamente funziunale, chì indica chì L'attaccanti stanu digià testendu u Trojanu nantu à vittime vere..
I circadori indicanu chì, per avà, i miri rilevati sò cuncintrati in clienti di istituzioni finanziarie europeesoprattuttu in e parte cintrali è miridiunali di u cuntinente. Questa attenzione hè evidente in u mudelli è schermi falsi integratu in u malware, specificamente cuncipitu per imità l'aspettu di l'applicazioni bancarie lucali.
Questa cumbinazione di focus regiunale, alta sofisticazione tecnica è fase di prova Questu face chì Sturnus pare una minaccia emergente cù un putenziale di crescita, simile à e precedenti campagne di troiani bancari chì anu cuminciatu discretamente è anu finitu per affettà migliaia di dispositivi.
Cumu si sparghje: app false è campagne clandestine
A distribuzione di Sturnus si basa nantu à i fugliali APK maliziosi chì si mascheranu da app legittime è populari. I circadori anu identificatu pacchetti chì imitanu, frà altri, à Google Chrome (cù nomi di pacchetti offuscati cum'è com.klivkfbky.izaybebnx) o applicazioni apparentemente innocue cum'è Scatola di Premix (com.uvxuthoq.noscjahae).
Ancu s'è u metudu di diffusione esatta Ùn hè ancu statu determinatu cun certezza, ma l'evidenza indica campagne di phishing è publicità malizioseè ancu i missaghji privati mandati per mezu di e piattaforme di messageria. Quessi missaghji redirigenu versu siti web fraudulenti induve l'utilizatore hè invitatu à scaricà supposti aghjurnamenti o utilità chì, in realtà, sò l'installatore di Troia.
Una volta chì a vittima installa l'applicazione fraudulenta, Sturnus dumanda Permessi d'accessibilità è, in parechji casi, privilegii d'amministratore di u dispusitivuQueste richieste sò travestite da missaghji apparentemente legittimi, dichjarendu ch'elli sò necessarii per furnisce funzioni avanzate o migliurà e prestazioni. Quandu l'utente cuncede questi permessi critichi, u malware acquista a capacità di vede tuttu ciò chì succede nantu à u screnuinteragisce cù l'interfaccia è impedisce a so disinstallazione per via di i canali abituali hè chjave, dunque hè cruciale sapè cumu caccià u malware da Android.
Furtu di credenziali bancarie per mezu di schermi sovrapposti
Una di e funzioni classiche di Sturnus, ma sempre assai efficace, hè l'usu di attacchi di sovrapposizione per arrubà dati bancari. Sta tecnica implica mustrà schermi falsi annantu à l'applicazioni legittime, imitendu fedelmente l'interfaccia di l'applicazione bancaria di a vittima.
Quandu l'utilizatore apre a so applicazione bancaria, u Trojan rileva l'eventu è mostra una finestra di login o di verificazione falsa, dumandendu nome d'utilizatore, password, PIN o dettagli di a cartaPer a persona affetta, l'esperienza pare cumpletamente nurmale: l'aspettu visuale riproduce i loghi, i culori è i testi di a vera banca.
Appena a vittima inserisce l'infurmazioni, Sturnus manda l'infurmazioni d'identità à u servitore di l'attaccanti aduprendu canali criptati. Pocu dopu, pò chjude u schermu fraudulente è restituisce u cuntrollu à l'app vera, cusì l'utente ùn nota guasi micca un ligeru ritardu o un cumpurtamentu stranu, chì spessu passa inosservatu. Dopu à un tale furtu, hè cruciale Verificate se u vostru contu bancariu hè statu pirate.
Inoltre, u Trojan hè capace di registrà e sequenze di tasti è i cumpurtamenti in altre applicazioni sensibili, ciò chì espande u tipu d'infurmazioni chì pò arrubà: da e password per accede à i servizii in linea à i codici di verificazione mandati per SMS o missaghji da l'applicazioni d'autentificazione.
Cumu spià i missaghji WhatsApp, Telegram è Signal senza rompe a crittografia
L'aspettu u più inquietante di Sturnus hè a so capacità di leghje e conversazioni di missaghji chì utilizanu a crittografia end-to-endcum'è WhatsApp, Telegram (in e so chat criptate), o Signal. À prima vista, puderia sembrà chì u malware hè riesciutu à cumprumette l'algoritmi crittografici, ma a realità hè più suttile è preoccupante.
Invece d'attaccà a trasmissione di missaghji, Sturnus sfrutta u Serviziu d'Accessibilità Android per monitorà l'applicazioni visualizate in primu pianu. Quandu detecta chì l'utente apre una di queste applicazioni di messageria, u Trojan simpricimenti... leghje direttamente u cuntenutu chì appare nantu à u screnu.
In altre parolle, ùn rompe micca a crittografia in transitu: aspittà chì l'applicazione stessa decifri i missaghji è mustrà li à l'utilizatore. In quellu mumentu, u malware pò accede à u testu, i nomi di i cuntatti, i fili di cunversazione, i missaghji entranti è in uscita, è ancu altri dettagli prisenti in l'interfaccia.
Questu approcciu permette à Sturnus bypassà cumpletamente a prutezzione di crittografia end-to-end senza bisognu di rompe lu da un puntu di vista matematicu. Per l'attaccanti, u telefunu agisce cum'è una finestra aperta chì rivela informazioni chì, in teoria, devenu rimanere private ancu da intermediari è fornitori di servizii.
Misure di prutezzione per l'utilizatori Android in Spagna è in Europa
Di fronte à minacce cum'è Sturnus, u L'esperti di sicurezza cunsiglianu di rinfurzà parechje abitudini basiche in l'usu cutidianu di u telefuninu mobile:
- Evitate l'installazione di i fugliali APK ottenutu fora di a buttega ufficiale di Google, salvu chì ùn sianu da fonti cumpletamente verificate è strettamente necessarie.
- Rileghjite attentamente u permessi richiesti da l'applicazioniOgni app chì dumanda l'accessu à u Serviziu d'Accessibilità senza una ragione assai chjara duveria suscità segnali d'alerta.
- Attenti à e richieste da privilegii d'amministratore di u dispusitivuchì in a maiò parte di i casi ùn sò micca necessarii per u funziunamentu nurmale di una applicazione standard.
- Mantene Google Play Protect è altre suluzioni di sicurezza Aggiornate attivamente u sistema operativu è l'applicazioni installate regularmente, è verificate periodicamente a lista di l'applicazioni cù permessi sensibili.
- Esse attenti à cumpurtamentu stranu (schermate bancarie suspettose, richieste di credenziali inaspettate, rallentamenti improvvisi) è agisce immediatamente à ogni segnu d'avvertimentu.
In casu di suspetta infezione, una risposta pussibule hè revucà manualmente i privilegi di amministratore è di accessibilità Da i paràmetri di u sistema, disinstallate tutte l'applicazioni scunnisciute. Sè u dispusitivu cuntinueghja à mustrà sintomi, pò esse necessariu fà una copia di salvezza di i dati essenziali è fà un reset di fabbrica, restaurà solu ciò chì hè assolutamente necessariu.
L'apparizione di Sturnus cunfirma chì L'ecosistema Android ferma un scopu prioritariu Stu Trojan, cuncipitu per gruppi criminali cù risorse è motivazione finanziaria, combina u furtu bancariu, u spionaggio di missaghji criptati è u cuntrollu remotu in un unicu pacchettu. Utilizza i permessi d'accessibilità è i canali di cumunicazione criptati per operà in modu furtivu. In un cuntestu induve sempre più utilizatori in Spagna è in Europa si basanu nantu à i so telefoni cellulari per gestisce i so soldi è e so cumunicazioni private, stà vigilante è aduttà bone pratiche digitali diventa cruciale per evità di esse vittima di minacce simili.
Sò un entusiasta di a tecnulugia chì hà trasfurmatu i so interessi "geek" in una professione. Aghju passatu più di 10 anni di a mo vita cù a tecnulugia d'avanguardia è scacciendu ogni tipu di prugrammi per pura curiosità. Avà sò specializatu in tecnulugia di computer è video games. Questu hè chì dapoi più di 5 anni aghju scrittu per diversi siti web nantu à a tecnulugia è i video games, creendu articuli chì cercanu di dà l'infurmazioni chì avete bisognu in una lingua chì hè comprensibile à tutti.
Sì avete qualchì quistione, a mo cunniscenza varieghja da tuttu ciò chì riguarda u sistema operatore Windows è ancu Android per i telefunini. È u mo impegnu hè di voi, sò sempre dispostu à passà uni pochi di minuti è aiutavvi à risolve tutte e dumande chì pudete avè in questu mondu Internet.