În noiembrie 2025, cercetătorii de securitate au identificat Sturnus, un nou troian bancar Android. Spre deosebire de alte familii de malware, acesta se remarcă prin capacitatea de a ocoli criptarea aplicațiilor de mesagerie precum WhatsApp, Telegram și Signal, expunând conversațiile private ale utilizatorilor.
Ce este Sturnus?
- Troian bancar Android aflat încă în fază de testare, dar complet funcțional.
- Permite preluarea totală a dispozitivului și exfiltrarea datelor sensibile.
- Ținte actuale: instituții financiare din Europa de Sud și Centrală.
Funcționalități cheie
- Suprapuneri HTML (overlays): ecrane false de autentificare pentru furtul credențialelor bancare.
- Keylogging avansat: monitorizează text introdus, interacțiuni UI și activitatea completă a utilizatorului.
- Monitorizare mesaje criptate: citește conversațiile din WhatsApp, Signal și Telegram în timp real.
- Control de la distanță (VNC/Accessibility): atacatorii pot injecta text, executa clickuri și ascunde ecranul.
- Persistență prin Device Administrator: blochează dezinstalarea și se apără împotriva eliminării.
Cum comunică malware-ul
- Protocol complex cu RSA și AES pentru schimb de chei și criptare.
- Folosește HTTP și WebSocket pentru redundanță și control în timp real.
- Permite atacatorilor să adapteze tacticile în funcție de comportamentul victimei.
Impact și riscuri
- Securitate financiară: furt de credențiale bancare și tranzacții frauduloase.
- Intimitate compromisă: acces direct la conversații private, fără protecție criptografică.
- Control complet al dispozitivului: atacatorii pot șterge SMS-uri, apeluri și contacte, sau bloca ecranul.
Concluzie
Sturnus reprezintă o amenințare avansată și sofisticată, cu multiple vectori de atac. Deși răspândirea este limitată în prezent, indiciile arată că operatorii pregătesc o campanie mai amplă. Utilizatorii Android trebuie să fie vigilenți și să adopte măsuri de securitate suplimentare pentru a-și proteja datele și confidențialitatea.
Sursa: ThreatFabric
