O malware Sturnus é capaz de ler mensagens criptografadas no WhatsApp, Signal e Telegram. Foto: CyberInsider.
De acordo com um relatório da ThreatFabric, o Sturnus foi observado em ataques direcionados, visando principalmente usuários no sul e centro da Europa. Os pesquisadores acreditam que o malware ainda está em estágios iniciais de desenvolvimento, provavelmente sendo implantado esporadicamente para testes, em vez de campanhas em larga escala. No entanto, sua arquitetura "escalável" o torna uma ameaça perigosa que merece atenção.
Modo de infecção
O processo de infecção começa quando os usuários baixam arquivos APK maliciosos para Android (aplicativos baixados de sites não oficiais, fora da Google Play Store). Esses arquivos APK geralmente são disfarçados de aplicativos legítimos, como o Google Chrome ou o Preemix Box, e os usuários instalam, sem saber, aplicativos de terceiros que contêm o Sturnus.
Uma vez instalado, o Sturnus estabelece um canal HTTPS criptografado para transmitir comandos e vazar dados.
Quando um usuário abre um aplicativo de mensagens seguro, o malware detecta o aplicativo e aciona o pipeline UI-tree. Esse sistema permite que o Sturnus leia todos os dados exibidos na tela em tempo real, incluindo o nome do remetente, o conteúdo da mensagem e o registro de data e hora. Como esse monitoramento é feito localmente, ele desativa as proteções fornecidas por protocolos como o Signal Protocol. Isso acontece sem nenhum aviso óbvio ao usuário, e a interface do aplicativo permanece normal. Essa é também a característica mais alarmante.
Além disso, o Sturnus obtém privilégios de administrador em dispositivos Android, permitindo monitorar alterações de senha e tentativas de desbloqueio, bem como bloquear o dispositivo remotamente. O malware também foi projetado para impedir que os usuários removam privilégios ou desinstalem softwares do dispositivo.
Roubo sofisticado de informações bancárias
O Sturnus consegue roubar credenciais bancárias através de telas de login falsas, usando sobreposições de HTML que imitam aplicativos bancários legítimos. Essas sobreposições são armazenadas localmente e personalizadas para instituições financeiras específicas.
O malware concede aos atacantes controle remoto completo e em tempo real. Esse controle remoto permite que os atacantes monitorem todas as atividades do usuário, insiram texto sem interação física, realizem transações fraudulentas, incluindo transferências de dinheiro de aplicativos bancários, confirmem caixas de diálogo, aprovem telas de autenticação multifatorial, alterem configurações ou instalem novos aplicativos.
Ao executar essas ações maliciosas, o Sturnus opera com um alto grau de anonimato. Ele pode escurecer a tela do dispositivo (ativando a sobreposição preta) para ocultar sua atividade em segundo plano sem que a vítima perceba.
Recomendações de proteção
Para se proteger contra o Sturnus, os usuários do Android devem tomar as seguintes precauções:
Evite baixar arquivos APK de fora da Google Play ou de desenvolvedores de aplicativos desconhecidos.
Ative sempre o Play Protect para verificar e remover ameaças.
Evite conceder permissões de Acessibilidade, a menos que seja absolutamente necessário, e verifique se os aplicativos instalados possuem permissões de Serviço de Acessibilidade.
Vídeo que pode te interessar: Alerta sobre malware que rouba informações de imagens em dispositivos Android e iPhone. Fonte: VTV24.
Fonte: https://doanhnghiepvn.vn/cong-nghe/canh-bao-ma-doc-sturnus-doc-trom-tin-nhan-va-lay-du-lieu-ngan-hang-tren-android/20251128095956316
Comentário (0)