- Sturnus est un cheval de Troie bancaire pour Android qui vole les identifiants et intercepte les messages des applications chiffrées comme WhatsApp, Telegram et Signal.
- Il exploite le service d'accessibilité Android pour lire tout ce qui s'affiche à l'écran et contrôler l'appareil à distance via des sessions de type VNC.
- Il est distribué sous la forme d'un fichier APK malveillant qui se fait passer pour des applications connues (par exemple, Google Chrome) et cible principalement les banques d'Europe centrale et méridionale.
- Il utilise des communications chiffrées (HTTPS, RSA, AES, WebSocket) et demande des privilèges d'administrateur pour rester persistant et compliquer sa suppression.
Un Nouveau cheval de Troie bancaire pour Android appelé Sturnus a allumé le alarmes dans le secteur européen de la cybersécuritéCe logiciel malveillant n'est pas seulement conçu pour voler des identifiants financiers, mais aussi capable de lire les conversations WhatsApp, Telegram et Signal et prendre le contrôle quasi total de l'appareil infecté.
La menace, identifiée par les chercheurs Tissu de menace et les analystes cités par BleepingComputer sont toujours dans une phase de déploiement précocemais cela démontre déjà un un niveau de sophistication inhabituelBien que les campagnes détectées jusqu'à présent soient limitées, les experts craignent qu'il s'agisse de tests préalables à une offensive de plus grande envergure contre les utilisateurs de Services bancaires mobiles en Europe centrale et méridionale.
Qu'est-ce que Sturnus et pourquoi suscite-t-il autant d'inquiétude ?
Sturnus est un cheval de Troie bancaire pour Android qui combine plusieurs fonctionnalités dangereuses en un seul logiciel : vol d’identifiants financiers, espionnage des applications de messagerie cryptées et contrôle à distance du téléphone grâce à des techniques d’accès avancées.
Selon l'analyse technique publiée par Tissu de menaceLe logiciel malveillant est développé et exploité par une entreprise privée faisant preuve d'un professionnalisme manifeste. Bien que le code et l'infrastructure semblent encore en développement, les échantillons analysés sont entièrement fonctionnel, ce qui indique que Les attaquants testent déjà le cheval de Troie sur de vraies victimes..
Les chercheurs indiquent que, pour l'instant, les cibles détectées sont concentrées dans clients des institutions financières européennesnotamment dans les régions centrales et méridionales du continent. Cette priorité est manifeste dans le faux modèles et écrans Intégré au logiciel malveillant, il est spécifiquement conçu pour imiter l'apparence des applications bancaires locales.
Cette combinaison de orientation régionale, haute sophistication technique et phase de test Cela donne l'impression que Sturnus représente une menace émergente avec un potentiel de croissance, similaire aux précédentes campagnes de chevaux de Troie bancaires qui ont commencé discrètement et ont fini par affecter des milliers d'appareils.
Comment cela se propage : fausses applications et campagnes secrètes
La distribution de Sturnus s'appuie sur des fichiers APK malveillants. qui se font passer pour des applications légitimes et populaires. Les chercheurs ont identifié des paquets qui imitent, entre autres, vers Google Chrome (avec des noms de paquets obscurcis comme com.klivkfbky.izaybebnx) ou des applications apparemment inoffensives comme Boîte prémélangée (com.uvxuthoq.noscjahae).
Bien que le méthode de diffusion exacte Cela n'a pas encore été déterminé avec certitude, mais les preuves pointent vers des campagnes de hameçonnage et publicités malveillantesainsi que des messages privés envoyés via des plateformes de messagerie. Ces messages redirigent vers des sites web frauduleux où l'utilisateur est invité à télécharger de prétendues mises à jour ou des utilitaires qui, en réalité, sont le programme d'installation du cheval de Troie.
Une fois que la victime a installé l'application frauduleuse, Sturnus demande Autorisations d'accessibilité et dans de nombreux cas privilèges d'administrateur de périphériqueCes requêtes sont dissimulées sous forme de messages apparemment légitimes, prétendant être nécessaires pour fournir des fonctionnalités avancées ou améliorer les performances. Lorsque l'utilisateur accorde ces autorisations critiques, le logiciel malveillant acquiert la capacité de voir tout ce qui se passe à l'écranL'interaction avec l'interface et la prévention de sa désinstallation par les voies habituelles sont essentielles ; il est donc crucial de savoir comment supprimer les logiciels malveillants d'Android.
Vol d'identifiants bancaires via des écrans superposés
L'une des fonctions classiques, mais toujours très efficace, de Sturnus est l'utilisation de attaques par superposition voler des données bancaires. Cette technique consiste à montrer fausses captures d'écran sur des applications légitimes, imitant fidèlement l'interface de l'application bancaire de la victime.
Lorsque l'utilisateur ouvre son application bancaire, le cheval de Troie détecte l'événement et affiche une fausse fenêtre de connexion ou de vérification, demandant nom d'utilisateur, mot de passe, code PIN ou informations de cartePour la personne concernée, l'expérience semble tout à fait normale : l'apparence visuelle reproduit les logos, les couleurs et les textes de la véritable banque.
Dès que la victime saisit les informations, Sturnus envoie les identifiants au serveur des attaquants en utilisant des canaux cryptés. Peu après, l'écran frauduleux se ferme et le contrôle est rétabli sur l'application légitime, si bien que l'utilisateur ne remarque quasiment aucun délai ni comportement étrange, ce qui passe souvent inaperçu. Après un tel vol, il est crucial Vérifiez si votre compte bancaire a été piraté..
De plus, le cheval de Troie est capable de enregistrer les frappes au clavier et les comportements au sein d'autres applications sensibles, ce qui élargit le type d'informations qu'il peut voler : des mots de passe permettant d'accéder aux services en ligne aux codes de vérification envoyés par SMS ou par messages provenant d'applications d'authentification.
Comment espionner les messages WhatsApp, Telegram et Signal sans casser le chiffrement
L'aspect le plus troublant de Sturnus est sa capacité à lire les conversations de messagerie utilisant le chiffrement de bout en boutcomme WhatsApp, Telegram (dans ses conversations chiffrées) ou Signal. À première vue, on pourrait croire que le logiciel malveillant a réussi à compromettre les algorithmes cryptographiques, mais la réalité est plus subtile et inquiétante.
Au lieu d'attaquer la transmission des messages, Sturnus exploite le service d'accessibilité Android pour surveiller les applications affichées au premier plan. Lorsqu'il détecte que l'utilisateur ouvre une de ces applications de messagerie, le cheval de Troie… lire directement le contenu qui apparaît à l'écran.
Autrement dit, cela ne compromet pas le chiffrement pendant la transmission : attendre que l'application elle-même déchiffre les messages et les afficher à l'utilisateur. À ce moment-là, le logiciel malveillant peut accéder au texte, aux noms des contacts, aux fils de conversation, aux messages entrants et sortants, et même à d'autres détails présents dans l'interface.
Cette approche permet à Sturnus contourner complètement la protection de chiffrement de bout en bout sans avoir besoin de le casser mathématiquement. Pour les attaquants, le téléphone agit comme une fenêtre ouverte qui révèle des informations qui, en théorie, devraient rester privées, même vis-à-vis des intermédiaires et des fournisseurs de services.
Mesures de protection pour les utilisateurs Android en Espagne et en Europe
Face à des menaces comme Sturnus, le Les experts en sécurité recommandent de renforcer plusieurs habitudes de base. dans l'utilisation quotidienne du téléphone portable :
- Évitez d'installer des fichiers APK obtenus en dehors du Google Store officiel, sauf s'ils proviennent de sources entièrement vérifiées et strictement nécessaires.
- Examinez attentivement le autorisations demandées par les applicationsToute application qui demande l'accès au service d'accessibilité sans raison très claire doit éveiller les soupçons.
- Méfiez-vous des demandes de privilèges d'administrateur de périphériquequi, dans la plupart des cas, ne sont pas nécessaires au fonctionnement normal d'une application standard.
- Garder Google Play Protect et autres solutions de sécurité Mettez régulièrement à jour le système d'exploitation et les applications installées, et vérifiez périodiquement la liste des applications disposant d'autorisations sensibles.
- Soyez attentif à comportement étrange (écrans bancaires suspects, demandes d'identifiants inattendues, ralentissements soudains) et agissez immédiatement au moindre signe avant-coureur.
En cas de suspicion d'infection, une réponse possible est révoquer manuellement les privilèges d'administrateur et d'accès Dans les paramètres système, désinstallez les applications inconnues. Si le problème persiste, il peut être nécessaire de sauvegarder vos données essentielles et de réinitialiser l'appareil aux paramètres d'usine, en ne restaurant que les données strictement nécessaires.
L'apparition de Sturnus confirme que le L'écosystème Android demeure une cible prioritaire Ce cheval de Troie, conçu pour les groupes criminels disposant de ressources et de motivations financières, combine vol de données bancaires, espionnage de messages chiffrés et prise de contrôle à distance. Il exploite les autorisations d'accès et les canaux de communication chiffrés pour agir furtivement. Dans un contexte où de plus en plus d'utilisateurs en Espagne et en Europe dépendent de leur téléphone portable pour gérer leur argent et leurs communications privées, la vigilance et l'adoption de bonnes pratiques numériques sont essentielles pour éviter d'être victime de menaces similaires.
Je suis un passionné de technologie qui a fait de ses intérêts de « geek » un métier. J'ai passé plus de 10 ans de ma vie à utiliser des technologies de pointe et à bricoler toutes sortes de programmes par pure curiosité. Aujourd'hui, je me spécialise dans l'informatique et les jeux vidéo. En effet, depuis plus de 5 ans, j'écris pour différents sites Web sur la technologie et les jeux vidéo, créant des articles qui cherchent à vous donner les informations dont vous avez besoin dans un langage compréhensible par tous.
Si vous avez des questions, mes connaissances s'étendent de tout ce qui concerne le système d'exploitation Windows ainsi qu'Android pour les téléphones mobiles. Et mon engagement est envers vous, je suis toujours prêt à consacrer quelques minutes et à vous aider à résoudre toutes les questions que vous pourriez avoir dans ce monde Internet.