Le logiciel malveillant Sturnus est capable de lire les messages chiffrés sur WhatsApp, Signal et Telegram. Photo : CyberInsider.
D'après un rapport de ThreatFabric, Sturnus a été observé lors d'attaques ciblées, visant principalement des utilisateurs d'Europe du Sud et centrale. Les chercheurs estiment que ce logiciel malveillant est encore en phase de développement précoce et qu'il est probablement déployé de manière sporadique à des fins de test plutôt que dans le cadre de campagnes à grande échelle. Toutefois, son architecture évolutive en fait une menace sérieuse à surveiller.
Mode d'infection
Le processus d'infection débute lorsque les utilisateurs téléchargent des fichiers APK Android malveillants (applications téléchargées depuis des sites web non officiels, en dehors du Google Play Store). Ces fichiers APK sont souvent déguisés en applications légitimes, telles que Google Chrome ou Preemix Box, et les utilisateurs installent sans le savoir des applications tierces contenant le virus Sturnus.
Une fois installé, Sturnus établit un canal HTTPS chiffré pour transmettre les commandes et divulguer des données.
Lorsqu'un utilisateur ouvre une application de messagerie sécurisée, le logiciel malveillant la détecte et déclenche le processus d'analyse de l'interface utilisateur. Ce système permet à Sturnus de lire en temps réel toutes les données affichées à l'écran, notamment le nom de l'expéditeur, le contenu du message et l'horodatage. Cette surveillance étant effectuée localement, elle désactive les protections offertes par des protocoles tels que le protocole Signal. L'utilisateur n'est averti de rien et l'interface de l'application reste parfaitement lisible. C'est là son aspect le plus inquiétant.
De plus, Sturnus obtient les privilèges d'administrateur sur les appareils Android, ce qui lui permet de surveiller les changements de mot de passe et les tentatives de déverrouillage, ainsi que de verrouiller l'appareil à distance. Ce logiciel malveillant est également conçu pour empêcher les utilisateurs de supprimer ces privilèges ou de désinstaller des logiciels de l'appareil.
Vol sophistiqué d'informations bancaires
Sturnus peut dérober des identifiants bancaires via de fausses pages de connexion, grâce à des superpositions HTML imitant des applications bancaires légitimes. Ces superpositions sont stockées localement et personnalisées pour chaque établissement financier.
Ce logiciel malveillant confère aux attaquants un contrôle total et en temps réel à distance. Ce contrôle leur permet de surveiller toutes les activités de l'utilisateur, d'insérer du texte sans interaction physique, d'effectuer des transactions frauduleuses (comme des virements bancaires, la validation de boîtes de dialogue, l'approbation d'authentifications multifacteurs, la modification de paramètres ou l'installation de nouvelles applications).
Lors de ces actions malveillantes, Sturnus opère avec un haut degré d'anonymat. Il peut noircir l'écran de l'appareil (en activant la superposition noire) afin de dissimuler son activité en arrière-plan à l'insu de la victime.
Recommandations de protection
Pour se protéger contre Sturnus, les utilisateurs d'Android doivent prendre les précautions suivantes :
Évitez de télécharger des fichiers APK en dehors de Google Play ou auprès de développeurs d'applications inconnus.
Activez toujours Play Protect pour analyser et supprimer les menaces.
Évitez d'accorder des autorisations d'accessibilité sauf en cas d'absolue nécessité et vérifiez si les applications installées disposent des autorisations nécessaires pour accéder aux services d'accessibilité.
Vidéo susceptible de vous intéresser : Alerte aux logiciels malveillants qui volent des informations à partir d’images sur Android et iPhone. Source : VTV24.
Source : https://doanhnghiepvn.vn/cong-nghe/canh-bao-ma-doc-sturnus-doc-trom-tin-nhan-va-lay-du-lieu-ngan-hang-tren-android/20251128095956316
Comment (0)