La sicurezza degli utenti Android è nuovamente sotto attacco con l’emergere di un pericoloso malware che mette a rischio la privacy.
Gli esperti di ThreatFabric hanno identificato un nuovo trojan bancario, chiamato Sturnus, che non solo ruba credenziali di accesso ma riesce anche a violare la crittografia end-to-end di alcune tra le più diffuse app di messaggistica istantanea, come WhatsApp, Telegram e Signal.
Sturnus si distingue rispetto ai tradizionali malware bancari per la sua capacità di intercettare conversazioni in tempo reale. Sebbene sia ancora in fase di sviluppo, è già stato configurato per condurre attacchi su larga scala principalmente contro istituzioni finanziarie europee. Il malware si presenta come un’app apparentemente innocua, con un file APK che imita un aggiornamento di Google Chrome, e si diffonde tramite tecniche di phishing, smishing o tramite dropper.
Una volta installato sul dispositivo, il trojan sfrutta i servizi di accessibilità di Android per accedere ai contenuti delle app di messaggistica. Questa modalità consente di leggere messaggi in ingresso e in uscita, oltre a intere conversazioni di WhatsApp, Telegram e Signal, bypassando così la protezione garantita dalla crittografia end-to-end.
Oltre al monitoraggio delle comunicazioni, Sturnus svolge le consuete funzioni di un trojan bancario: visualizza schermate sovrapposte a quelle ufficiali delle app bancarie per sottrarre le credenziali di accesso, cattura screenshot, ruba PIN e password utilizzate per lo sblocco del dispositivo e può visualizzare una schermata nera a tutto schermo per nascondere attività sospette in background.
Funzionalità avanzate per il controllo remoto e la persistenza
Un ulteriore elemento di pericolo è rappresentato dalla modalità VNC (Virtual Network Computing) integrata nel malware. Questa funzione consente ai cybercriminali di avviare una sessione di controllo remoto sul dispositivo infetto, consentendo operazioni quali l’inserimento di testo, tap e scrolling senza che la vittima se ne accorga. L’utente vede infatti solo una schermata nera mentre, all’insaputa, vengono effettuate operazioni come trasferimenti di denaro tramite app bancarie o l’installazione di ulteriori malware.
Per garantire la persistenza sul dispositivo, Sturnus può ottenere i diritti di amministratore, rendendo più difficile la sua rimozione e assicurando un accesso continuativo al sistema. Inoltre, raccoglie una vasta gamma di informazioni sul dispositivo per facilitare ulteriori attacchi mirati.
L’allerta sul nuovo trojan Sturnus sottolinea ancora una volta l’importanza di una prudente gestione delle app installate su dispositivi Android. È fondamentale evitare il download di applicazioni da fonti non ufficiali, poiché il malware si diffonde proprio attraverso file APK camuffati da aggiornamenti legittimi, come quello di Google Chrome.
Gli utenti sono invitati a prestare particolare attenzione a messaggi sospetti che chiedono di scaricare aggiornamenti o applicazioni tramite link esterni, soprattutto durante periodi di shopping online intenso come il Black Friday, quando le campagne di phishing aumentano notevolmente.
Inoltre, mantenere sempre aggiornato il sistema operativo e le app installate, utilizzare soluzioni antivirus affidabili e attivare le funzionalità di sicurezza offerte da Android può ridurre significativamente il rischio di infezioni da malware sofisticati come Sturnus.
La scoperta di questo nuovo trojan rappresenta un campanello d’allarme per istituzioni finanziarie, aziende e singoli utenti, evidenziando come l’evoluzione delle minacce informatiche stia diventando sempre più sofisticata, capace di aggirare protezioni finora ritenute efficaci come la crittografia end-to-end delle app di messaggistica più popolari.