Um novo trojan bancário para Android, apelidado Sturnus, é capaz de capturar comunicações em plataformas de mensagens com criptografia de ponta a ponta, como Signal, WhatsApp e Telegram, além de assumir controle total do dispositivo.
Embora ainda em desenvolvimento, o malware está funcional e configurado para atacar contas de diversas instituições financeiras na Europa, utilizando “templates de overlay específicos por região”.
O Sturnus representa uma ameaça mais sofisticada em comparação a outras famílias de malware para Android atualmente.
Ele emprega uma combinação de comunicação em texto simples, RSA e AES para se conectar ao servidor de comando e controle (C2).
De acordo com um relatório da ThreatFabric, empresa especializada em prevenção de fraudes online e inteligência de ameaças, o trojan rouba mensagens dos aplicativos seguros após a etapa de decriptação, capturando o conteúdo diretamente da tela do dispositivo.
Além disso, o malware extrai credenciais bancárias por meio de sobreposições HTML e oferece suporte a controle remoto em tempo real via sessão VNC.
Pelos indicadores de comprometimento apontados pela ThreatFabric, o Sturnus provavelmente se disfarça como os aplicativos Google Chrome ou Preemix Box.
Entretanto, o método de distribuição do malware ainda não foi identificado.
Após a instalação, o trojan conecta-se à infraestrutura C2 para registrar a vítima por meio de uma troca criptográfica.
Ele estabelece um canal HTTPS criptografado para envio de comandos e exfiltração de dados, além de um canal WebSocket criptografado com AES para operações VNC em tempo real e monitoramento ao vivo.
Explorando os serviços de Accessibility do Android, o Sturnus consegue ler textos exibidos na tela, captar entradas do usuário, analisar a estrutura da interface, detectar a abertura de aplicativos, pressionar botões, rolar telas, injetar texto e navegar pelo dispositivo.
Para obter controle total, o malware adquire privilégios de Android Device Administrator, o que permite monitorar alterações de senha e tentativas de desbloqueio, além de bloquear o aparelho remotamente.
Ele também tenta impedir que o usuário remova seus privilégios ou desinstale o programa.
Quando o usuário abre WhatsApp, Telegram ou Signal, o trojan utiliza suas permissões para identificar o conteúdo das mensagens, texto digitado, nomes de contatos e conversas.
Por depender da atividade do Accessibility Service e não da interceptação de rede, o malware lê em tempo real tudo que aparece na tela — incluindo contatos, conversas completas e o conteúdo das mensagens enviadas e recebidas.
“Essa capacidade é particularmente perigosa, pois contorna totalmente a criptografia de ponta a ponta ao acessar as mensagens depois que o app legítimo as decripta, dando ao atacante uma visão direta de conversas supostamente privadas”, destacam os pesquisadores no relatório.
O modo VNC permite que os invasores cliquem em botões, digitem texto, rolem telas e naveguem pelo sistema e aplicativos, tudo controlado via Accessibility.
Em seguida, eles ativam uma sobreposição preta para realizar ações ocultas da vítima, que podem incluir transferências bancárias, confirmações de diálogos, aprovação de autenticação multifator, alterações de configurações ou instalação de novos apps.
O relatório da ThreatFabric exemplifica com um overlay falso de atualização do sistema Android, exibido para mascarar ações maliciosas em segundo plano.
Apesar de estar em estágio inicial e ter sido detectado apenas em ataques esporádicos — possivelmente para testes — o conjunto de funcionalidades avançadas e a arquitetura preparada para expansão indicam que o Sturnus é uma ameaça séria a ser monitorada.
A ThreatFabric identificou ações do trojan principalmente em usuários da Europa Central e do Sul, em baixo volume, sugerindo que os atacantes preparam campanhas maiores.
Usuários Android são orientados a evitar baixar arquivos APK fora da Google Play, manter o Play Protect ativo e conceder permissões de Accessibility apenas quando estritamente necessárias.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...