Foi descoberto o Sturnus, um Trojan para Android que intercepta mensagens do WhatsApp e do Telegram.

Um novo Trojan bancário, denominado Sturnus, foi descoberto. Ele consegue interceptar mensagens de plataformas com criptografia de ponta a ponta, incluindo WhatsApp, Telegram e Signal. O malware também pode assumir o controle total do dispositivo infectado.

Fonte da imagem: threatfabric.com

O Sturnus ainda está em desenvolvimento, mas o aplicativo já está totalmente funcional — configurado para atacar as contas de diversas instituições financeiras europeias. Este poderoso malware utiliza uma combinação de texto simples, dados criptografados com RSA e AES para se comunicar com o servidor de comando e controle (C2).

A implantação do Trojan começa com a instalação, pelo usuário, de um aplicativo APK malicioso para Android, que se disfarça como o Google Chrome ou a loja de aplicativos piratas Preemix Box. Os pesquisadores não conseguiram determinar como o malware é distribuído; suspeitam que sejam utilizados métodos de publicidade ou engenharia social. Uma vez instalado, o aplicativo se conecta à infraestrutura de C2 e registra a vítima por meio de troca de dados criptografados. Um canal de comunicação criptografado é estabelecido via HTTPS para transmissão de comandos e roubo de dados. Um canal WebSocket criptografado com AES também é estabelecido para controlar o dispositivo infectado e realizar monitoramento em tempo real.

Utilizando serviços de acessibilidade, o Sturnus lê o texto na tela, intercepta a entrada do usuário, monitora a estrutura da interface do usuário, detecta a inicialização de aplicativos, pressiona botões, rola páginas, insere texto e controla outras funções do smartphone. Para obter controle total sobre o dispositivo, o Sturnus obtém direitos de administrador, com os quais monitora alterações de senha e tentativas de desbloqueio, podendo até mesmo bloquear o dispositivo remotamente. O aplicativo tenta privar o usuário de seus privilégios e o impede de usar o dispositivo.Para se desconectar do dispositivo, é necessário revogar manualmente os direitos de administrador.

Quando um usuário abre o WhatsApp, Telegram ou Signal, o Trojan Sturnus explora seus privilégios para interceptar o conteúdo das mensagens, incluindo texto digitado, nomes, contatos e outros dados de correspondência. Ele burla a criptografia de ponta a ponta acessando as mensagens depois que o aplicativo legítimo já as descriptografou. Usando serviços de acessibilidade, o aplicativo pode entrar em modo de controle remoto, permitindo que os invasores pressionem botões, digitem texto, rolem páginas e naveguem pelo sistema operacional e pelas interfaces dos aplicativos do smartphone. Uma vez pronto, os hackers cobrem a tela com um fundo preto e realizam ações ocultas da vítima — incluindo transferências de dinheiro em aplicativos bancários, confirmações em caixas de diálogo e telas de autenticação multifatorial. Eles também podem alterar configurações e instalar novos aplicativos.

O desenvolvimento do Sturnus ainda não está completo, segundo pesquisadores, e até o momento o aplicativo tem sido usado de forma esporádica e aleatória, aparentemente para testes e não em campanhas em larga escala. No entanto, suas capacidades tornam o Trojan uma ameaça perigosa que merece atenção. Atualmente, os ataques do Sturnus estão sendo realizados em pequeno número, principalmente em países do sul e centro da Europa. Tradicionalmente, recomenda-se aos proprietários de dispositivos Android que não instalem arquivos APK de fontes não confiáveis, que não desativem o Play Protect e que não concedam acesso a aplicativos, a menos que seja absolutamente necessário.