Avertissement : Le logiciel malveillant Sturnus lit les messages et vole les données bancaires sur les appareils Android.

Mã độc Sturnus có khả năng đọc các tin nhắn mã hóa trong Whatsapp, Signal và Telengram. Ảnh: CyberInsider.

Le logiciel malveillant Sturnus est capable de lire les messages chiffrés sur WhatsApp, Signal et Telengram. Image : CyberInsider.

Sturnus est décrit comme une menace sophistiquée et complète, intégrant des fonctionnalités avancées que l'on retrouve généralement dans les logiciels malveillants Android de haut niveau.

D'après un rapport de ThreatFabric, Sturnus a été observé lors d'attaques ciblées, visant principalement des utilisateurs d'Europe du Sud et centrale. Les chercheurs estiment que ce logiciel malveillant est encore en phase de développement précoce et qu'il est probablement déployé ponctuellement à des fins de test plutôt que dans le cadre de campagnes à grande échelle. Toutefois, son architecture évolutive en fait une menace dangereuse contre laquelle il convient de se prémunir.

Mode de transmission

Le processus d'infection débute lorsque les utilisateurs téléchargent des fichiers APK Android malveillants (applications téléchargées depuis des sites web non officiels, en dehors du Google Play Store). Ces fichiers APK sont souvent déguisés en applications légitimes, telles que Google Chrome ou Premix Box, et les utilisateurs installent sans le savoir ces applications tierces contenant Sturnus.

Après l'installation, Sturnus établit un canal HTTPS chiffré pour transmettre les commandes et les données divulguées.

Lorsqu'un utilisateur ouvre une application de messagerie sécurisée, le logiciel malveillant la détecte et déclenche le processus d'analyse de l'interface utilisateur. Ce système permet à Sturnus de lire en temps réel toutes les données affichées à l'écran, notamment le nom de l'expéditeur, le contenu des messages et leur horodatage. Cette surveillance étant locale, elle désactive les protections offertes par des protocoles tels que le protocole Signal. L'utilisateur n'est averti de rien et l'interface de l'application reste inchangée. C'est là le point le plus inquiétant.

De plus, Sturnus obtient les privilèges d'administrateur sur les appareils Android, ce qui lui permet de surveiller les changements de mot de passe et les tentatives de déverrouillage, ainsi que de verrouiller l'appareil à distance. Ce logiciel malveillant est également conçu pour empêcher les utilisateurs de révoquer leurs privilèges ou de désinstaller des logiciels de l'appareil.

Vol d'informations bancaires de manière sophistiquée.

Sturnus peut dérober les identifiants de connexion bancaire via de fausses pages de connexion, grâce à des superpositions HTML imitant les applications bancaires légitimes. Ces superpositions sont stockées localement et conçues sur mesure pour chaque établissement financier.

Ce logiciel malveillant offre aux attaquants des capacités de contrôle à distance complètes et en temps réel. Ce contrôle leur permet de surveiller toute l'activité de l'utilisateur, d'insérer du texte sans interaction physique et d'exécuter des transactions frauduleuses, notamment des virements bancaires, la validation de boîtes de dialogue, l'approbation d'écrans d'authentification multifacteurs, la modification de paramètres ou l'installation de nouvelles applications.

Lors de ces actions malveillantes, Sturnus opère avec un haut degré d'anonymat. Il peut obscurcir l'écran de l'appareil (en activant un calque noir) afin de dissimuler l'activité qui se déroule en arrière-plan à l'insu de la victime.

Recommandations en matière de protection

Pour se protéger contre Sturnus, les utilisateurs d'Android doivent prendre les précautions suivantes :

Évitez de télécharger des fichiers APK en dehors de Google Play ou auprès de développeurs d'applications inconnus.

Laissez toujours Play Protect activé pour analyser et supprimer les menaces.

Évitez d'accorder des autorisations d'accessibilité sauf en cas d'absolue nécessité et vérifiez si les applications installées disposent des autorisations nécessaires pour accéder aux services d'accessibilité.

Vidéo susceptible de vous intéresser : Alerte aux logiciels malveillants qui volent des informations à partir d’images sur Android et iPhone. Source : VTV24.