- Sturnus è un trojan bancario per Android che ruba le credenziali e intercetta i messaggi da app crittografate come WhatsApp, Telegram e Signal.
- Sfrutta il servizio di accessibilità Android per leggere tutto ciò che appare sullo schermo e controllare il dispositivo da remoto tramite sessioni di tipo VNC.
- Viene distribuito come un APK dannoso che si maschera da app note (ad esempio Google Chrome) e prende di mira principalmente le banche dell'Europa centrale e meridionale.
- Utilizza comunicazioni crittografate (HTTPS, RSA, AES, WebSocket) e richiede privilegi di amministratore per rimanere persistente, complicandone la rimozione.
Un Nuovo trojan bancario per Android chiamato Sturnus ha acceso il allarmi nel settore della sicurezza informatica europeaQuesto malware non è progettato solo per rubare credenziali finanziarie, ma è anche in grado di leggere le conversazioni di WhatsApp, Telegram e Signal e assumere il controllo quasi completo del dispositivo infetto.
La minaccia, identificata dai ricercatori ThreatFabric e gli analisti citati da BleepingComputer, sono ancora in una fase di distribuzione inizialema dimostra già una insolito livello di sofisticazioneSebbene le campagne finora rilevate siano limitate, gli esperti temono che si tratti di test prima di un'offensiva su larga scala contro gli utenti di Mobile banking nell'Europa centrale e meridionale.
Cos'è Sturnus e perché suscita così tanta preoccupazione?
Sturnus è un trojan bancario per Android che combina diverse funzionalità pericolose in un unico pacchetto: furto di credenziali finanziarie, spionaggio di app di messaggistica crittografate e controllo remoto del telefono tramite tecniche di accessibilità avanzate.
Secondo l'analisi tecnica pubblicata da ThreatFabricIl malware è sviluppato e gestito da un'azienda privata con un approccio chiaramente professionale. Sebbene il codice e l'infrastruttura sembrino ancora in evoluzione, i campioni analizzati sono completamente funzionale, Indicandolo Gli aggressori stanno già testando il Trojan su vittime reali..
I ricercatori indicano che, per ora, gli obiettivi rilevati sono concentrati in clienti di istituzioni finanziarie europeesoprattutto nelle zone centrali e meridionali del continente. Questa attenzione è evidente nel modelli e schermate falsi integrato nel malware, specificamente progettato per imitare l'aspetto delle applicazioni bancarie locali.
Questa combinazione di focus regionale, elevata sofisticatezza tecnica e fase di test Ciò fa sì che Sturnus sembri una minaccia emergente con potenziale di crescita, simile alle precedenti campagne di trojan bancari che sono iniziate in modo discreto e hanno finito per colpire migliaia di dispositivi.
Come si diffonde: app false e campagne segrete
La distribuzione di Sturnus si basa su file APK dannosi che si mascherano da app legittime e popolari. I ricercatori hanno identificato pacchetti che imitano, entre otros, a Google Chrome (con nomi di pacchetti offuscati come com.klivkfbky.izaybebnx) o app apparentemente innocue come Pre-mix Box (com.uvxuthoq.noscjahae).
Il metodo di diffusione esatta Non è ancora stato determinato con certezza, ma le prove indicano campagne di phishing e pubblicità dannosecosì come messaggi privati inviati tramite piattaforme di messaggistica. Questi messaggi reindirizzano a siti web fraudolenti in cui l'utente viene invitato a scaricare presunti aggiornamenti o utility che, in realtà, sono il programma di installazione del Trojan.
Una volta che la vittima installa l'applicazione fraudolenta, Sturnus richiede Autorizzazioni di accessibilità e in molti casi privilegi di amministratore del dispositivoQueste richieste sono mascherate da messaggi apparentemente legittimi, sostenendo di essere necessarie per fornire funzionalità avanzate o migliorare le prestazioni. Quando l'utente concede queste autorizzazioni critiche, il malware acquisisce la capacità di vedere tutto ciò che accade sullo schermointeragire con l'interfaccia e impedirne la disinstallazione attraverso i canali abituali è fondamentale, quindi è fondamentale sapere come rimuovere malware da Android.
Furto di credenziali bancarie tramite schermate sovrapposte
Una delle funzioni classiche, ma ancora molto efficaci, di Sturnus è l'uso di attacchi di sovrapposizione per rubare dati bancari. Questa tecnica consiste nel mostrare schermate false su app legittime, imitando fedelmente l'interfaccia dell'app bancaria della vittima.
Quando l'utente apre la propria app bancaria, il Trojan rileva l'evento e visualizza una finestra di accesso o di verifica falsa, richiedendo nome utente, password, PIN o dettagli della cartaPer la persona interessata, l'esperienza sembra del tutto normale: l'aspetto visivo riproduce i loghi, i colori e i testi della banca reale.
Non appena la vittima inserisce le informazioni, Sturnus invia le credenziali al server degli aggressori utilizzando canali criptati. Poco dopo, può chiudere la schermata fraudolenta e restituire il controllo all'app reale, in modo che l'utente non si accorga nemmeno di un leggero ritardo o di un comportamento anomalo, che spesso passa inosservato. Dopo un furto di questo tipo, è fondamentale Controlla se il tuo conto bancario è stato hackerato.
Inoltre, il Trojan è in grado di registrare le battute dei tasti e comportamenti all'interno di altre applicazioni sensibili, il che amplia il tipo di informazioni che può rubare: dalle password per accedere ai servizi online ai codici di verifica inviati tramite SMS o messaggi da app di autenticazione.
Come spiare i messaggi di WhatsApp, Telegram e Signal senza violare la crittografia
L'aspetto più inquietante di Sturnus è la sua capacità di leggere le conversazioni di messaggistica che utilizzano la crittografia end-to-endcome WhatsApp, Telegram (nelle sue chat crittografate) o Signal. A prima vista, potrebbe sembrare che il malware sia riuscito a compromettere gli algoritmi crittografici, ma la realtà è più sottile e preoccupante.
Invece di attaccare la trasmissione dei messaggi, Sturnus sfrutta il servizio di accessibilità Android per monitorare le applicazioni visualizzate in primo piano. Quando rileva che l'utente apre una di queste app di messaggistica, il Trojan semplicemente... leggere direttamente il contenuto che appare sullo schermo.
In altre parole, non interrompe la crittografia durante il transito: attendere che l'applicazione stessa decifri i messaggi e li mostra all'utente. In quel momento, il malware può accedere al testo, ai nomi dei contatti, ai thread delle conversazioni, ai messaggi in entrata e in uscita e persino ad altri dettagli presenti nell'interfaccia.
Questo approccio consente a Sturnus bypassare completamente la protezione della crittografia end-to-end senza doverlo decifrare da un punto di vista matematico. Per gli aggressori, il telefono funge da finestra aperta che rivela informazioni che, in teoria, dovrebbero rimanere riservate anche agli intermediari e ai fornitori di servizi.
Misure di protezione per gli utenti Android in Spagna e in Europa
Di fronte a minacce come Sturnus, il Gli esperti di sicurezza raccomandano di rafforzare alcune abitudini di base nell'uso quotidiano del telefono cellulare:
- Evita di installare file APK ottenuti al di fuori dello store ufficiale di Google, a meno che non provengano da fonti completamente verificate e strettamente necessarie.
- Esaminare attentamente il permessi richiesti dalle applicazioniQualsiasi app che richieda l'accesso al Servizio di accessibilità senza una ragione molto chiara dovrebbe far scattare l'allarme.
- Diffidate delle richieste provenienti da privilegi di amministratore del dispositivoche nella maggior parte dei casi non sono necessari per il normale funzionamento di un'app standard.
- mantener Google Play Protect e altre soluzioni di sicurezza Aggiornare regolarmente e attivamente il sistema operativo e le app installate e rivedere periodicamente l'elenco delle applicazioni con autorizzazioni sensibili.
- Sii attento a comportamenti strani (controlli bancari sospetti, richieste di credenziali inaspettate, rallentamenti improvvisi) e agire immediatamente a qualsiasi segnale di avvertimento.
In caso di sospetta infezione, una possibile risposta è revocare manualmente i privilegi di amministratore e di accessibilità Dalle impostazioni di sistema, disinstalla tutte le app sconosciute. Se il dispositivo continua a mostrare sintomi, potrebbe essere necessario eseguire il backup dei dati essenziali ed eseguire un ripristino delle impostazioni di fabbrica, ripristinando solo ciò che è assolutamente necessario.
L'apparizione di Sturnus conferma che il L'ecosistema Android resta un obiettivo prioritario Questo trojan, progettato per gruppi criminali dotati di risorse e motivazioni finanziarie, combina furto bancario, spionaggio tramite messaggi crittografati e controllo remoto in un unico pacchetto. Sfrutta i permessi di accesso e i canali di comunicazione crittografati per operare in modo furtivo. In un contesto in cui sempre più utenti in Spagna e in Europa si affidano ai propri telefoni cellulari per gestire denaro e comunicazioni private, rimanere vigili e adottare buone pratiche digitali diventa fondamentale per evitare di cadere vittime di minacce simili.
Sono un appassionato di tecnologia che ha trasformato i suoi interessi "geek" in una professione. Ho trascorso più di 10 anni della mia vita utilizzando tecnologie all'avanguardia e armeggiando con tutti i tipi di programmi per pura curiosità. Ora mi sono specializzato in informatica e videogiochi. Questo perché da più di 5 anni scrivo per vari siti web di tecnologia e videogiochi, creando articoli che cercano di darti le informazioni di cui hai bisogno in un linguaggio comprensibile a tutti.
In caso di domande, le mie conoscenze spaziano da tutto ciò che riguarda il sistema operativo Windows e Android per telefoni cellulari. E il mio impegno è nei tuoi confronti, sono sempre disposto a dedicare qualche minuto e aiutarti a risolvere qualsiasi domanda tu possa avere in questo mondo di Internet.