Attenzione: il malware Sturnus legge i messaggi e ruba i dati bancari sui dispositivi Android.

Mã độc Sturnus có khả năng đọc các tin nhắn mã hóa trong Whatsapp, Signal và Telengram. Ảnh: CyberInsider.

Il malware Sturnus è in grado di leggere i messaggi crittografati su WhatsApp, Signal e Telegram. Immagine: CyberInsider.

Sturnus viene descritto come una minaccia sofisticata e completa, che incorpora funzionalità avanzate comunemente presenti nei malware Android di alto livello.

Secondo un rapporto di ThreatFabric, Sturnus è stato osservato in attacchi mirati, principalmente contro utenti nell'Europa meridionale e centrale. I ricercatori ritengono che questo malware sia ancora nelle sue fasi iniziali di sviluppo, probabilmente utilizzato sporadicamente a scopo di test piuttosto che in campagne su larga scala. Tuttavia, la sua architettura "scalabile" lo rende una minaccia pericolosa da cui è necessario proteggersi.

Modalità di trasmissione

Il processo di infezione inizia quando gli utenti scaricano file APK Android dannosi (applicazioni scaricate da siti web non ufficiali, al di fuori del Google Play Store). Questi file APK sono spesso camuffati da applicazioni legittime, come Google Chrome o Premix Box, e gli utenti installano inconsapevolmente queste applicazioni di terze parti contenenti Sturnus.

Dopo l'installazione, Sturnus stabilisce un canale HTTPS crittografato per trasmettere comandi e dati potenzialmente compromessi.

Quando un utente apre un'app di messaggistica sicura, il malware rileva l'app e attiva la pipeline UI-tree. Questo sistema consente a Sturnus di leggere in tempo reale tutti i dati visualizzati sullo schermo, inclusi i nomi dei mittenti, il contenuto dei messaggi e i timestamp. Poiché questo monitoraggio avviene localmente, disabilita le protezioni fornite da protocolli come il Signal Protocol. Ciò avviene senza alcun avviso esplicito per l'utente e l'interfaccia dell'app rimane normale. Questa è anche la caratteristica più allarmante.

Inoltre, Sturnus ottiene i privilegi di amministratore sui dispositivi Android, consentendogli di monitorare i cambi di password e i tentativi di sblocco, nonché di bloccare il dispositivo da remoto. Questo malware è anche progettato per impedire agli utenti di revocare i privilegi o disinstallare software dal dispositivo.

Furto di informazioni bancarie con metodi sofisticati.

Sturnus è in grado di rubare le credenziali di accesso bancario tramite schermate di login false, utilizzando overlay HTML che imitano le applicazioni bancarie legittime. Questi overlay vengono memorizzati localmente e sono progettati su misura per specifici istituti finanziari.

Questo malware offre agli aggressori funzionalità di controllo remoto complete e in tempo reale. Tale controllo remoto consente agli aggressori di monitorare tutte le attività dell'utente, inserire testo senza interazione fisica ed eseguire transazioni fraudolente, tra cui trasferimenti di fondi da app bancarie, conferma di finestre di dialogo, approvazione di schermate di autenticazione a più fattori, modifica delle impostazioni o installazione di nuove applicazioni.

Durante lo svolgimento di queste azioni dannose, Sturnus opera con un elevato grado di anonimato. Può oscurare lo schermo del dispositivo (attivando una sovrapposizione nera) per nascondere l'attività in corso in background all'insaputa della vittima.

Raccomandazioni per la protezione

Per proteggersi da Sturnus, gli utenti Android dovrebbero adottare le seguenti precauzioni:

Evitate di scaricare file APK al di fuori di Google Play o da sviluppatori di app sconosciuti.

Mantieni sempre Play Protect attivo per eseguire la scansione e rimuovere le minacce.

Evitate di concedere le autorizzazioni di accessibilità a meno che non siano assolutamente necessarie e verificate le autorizzazioni richieste dalle app installate per i servizi di accessibilità.

- Video che potrebbe interessarti: Avviso sui malware che rubano informazioni dalle immagini su Android e iPhone. Fonte: VTV24.