I ricercatori di ThreatFabric hanno scoperto un nuovo malware per Android. Sturnus è un trojan bancario con funzionalità tradizionali, come la visualizzazione di false schermate di login. La sua particolarità è tuttavia rappresentata dalla capacità di leggere i messaggi di WhatsApp, Telegram e Signal. È quindi in grado di aggirare la crittografia end-to-end.

Furto di credenziali e monitoraggio delle comunicazioni

Sturnus è ancora in fase di sviluppo, ma è stato già configurato per attacchi su larga scala contro istituzioni finanziarie europee. Come detto, il malware offre la tradizionale funzionalità di trojan bancario. Mostra infatti schermate sovrapposte a quelle delle reali app bancarie per rubare le credenziali di login.

Può inoltre visualizzare una schermata nera full screen per nascondere le attività in background, catturare screenshot, rubare PIN e password usate per il lock screen, intercettare testo e altre interazioni dell’utente con il dispositivo. I dati vengono inviati in chiaro o in forma cifrata (AES e RSA) al server C2 (command and control).

La novità rispetto ad altri trojan bancari è il monitoraggio delle comunicazioni. Sturnus può leggere messaggi in ingresso/uscita e intere conversazioni di WhatsApp, Telegram e Signal in tempo reale. Ciò avviene sfruttando i servizi di accessibilità e dopo che l’app ha decifrato i messaggi.

Il malware offre inoltre una modalità VNC. I cybercriminali possono avviare una sessione di controllo remoto che consente di eseguire vari azioni (inserimento testo, tap, scrolling). L’ignara vittima non si accorge di nulla perché vede solo una schermata nera. Nel frattempo viene effettuato il trasferimento di denaro tramite app bancarie oppure installati altri malware.

Sturnus può infine raccogliere numerose informazioni sul dispositivo e mantenere la persistenza attraverso i diritti di amministratore. La distribuzione avviene tramite phishing, smishing o dropper. Il file APK sembra un aggiornamento di Google Chrome. Gli utenti devono prestare attenzione alle app scaricate fuori dal Play Store.