Nel panorama della sicurezza informatica mobile emerge Sturnus, un nuovo trojan bancario per Android che rappresenta una minaccia avanzata e mirata verso utenti europei. Sturnus si distingue per la sua capacità di superare i sistemi di cifratura delle app di messaggistica come WhatsApp, Telegram e Signal, intercettando direttamente i contenuti delle chat appena vengono visualizzati sullo schermo del dispositivo. Questa abilità consente ai criminali di accedere a informazioni sensibili, eludendo le protezioni offerte dalla crittografia end-to-end.

Intercettazione delle chat e attacchi overlay

Oltre all’intercettazione delle chat, Sturnus sfrutta attacchi overlay, mostrando schermate di login false sopra le app bancarie reali. In questo modo, induce le vittime a inserire le proprie credenziali, che vengono immediatamente sottratte dai criminali. L’attacco si adatta alla banca specifica della vittima, utilizzando interfacce grafiche localizzate che ne aumentano la credibilità e la capacità di eludere sospetti.

Modalità di distribuzione e controllo remoto

Il malware viene distribuito tramite app contraffatte che si spacciano per Google Chrome o per applicazioni dal nome generico come Preemix Box. Una volta installato e attivato, Sturnus stabilisce connessioni con server remoti tramite WebSocket e HTTP, registrando il dispositivo compromesso e ricevendo istruzioni cifrate. Durante le sessioni di controllo remoto VNC, i cybercriminali possono interagire in tempo reale con il dispositivo della vittima.

Abuso dei servizi di accessibilità

Sturnus abusa dei servizi di accessibilità Android per registrare tutte le interazioni dell’utente, inclusi i tasti premuti e i contenuti delle app di messaggistica. Quando l’utente cerca di accedere alle impostazioni per revocare i permessi del malware, Sturnus individua l’azione e forza automaticamente la chiusura della schermata, impedendo la disinstallazione tramite procedure convenzionali o strumenti come ADB.

Funzionalità aggiuntive e tecniche di evasione

Un’ulteriore funzione di Sturnus consiste nella visualizzazione di una schermata fake di aggiornamento del sistema Android, bloccando ogni feedback visivo all’utente e permettendo così l’esecuzione di azioni malevole in background. Il trojan raccoglie anche dati sull’hardware, i sensori, le condizioni di rete e un elenco dettagliato delle app installate, adattando le sue tecniche per rimanere inosservato.

Attualmente la diffusione di Sturnus è limitata, ma la sofisticazione tecnica e l’attenzione verso istituzioni finanziarie europee suggeriscono che gli sviluppatori stiano perfezionando il malware in vista di campagne più ampie e coordinate. La combinazione di furto credenziali, controllo remoto e intercettazione delle chat cifrate rende Sturnus una delle minacce più insidiose nel settore mobile banking.