I ricercatori di MTI Security hanno scoperto Sturnus, un sofisticato trojan bancario per Android gestito privatamente, progettato per il controllo completo dei dispositivi infetti e per attività di frode avanzata. L’elemento più allarmante è la sua capacità di bypassare la crittografia delle app di messaggistica: invece di intercettare il traffico di rete, il malware acquisisce i contenuti direttamente dallo schermo del dispositivo dopo la decrittazione.
Grazie all’abuso dei servizi di Accessibilità di Android, Sturnus è in grado di monitorare in tempo reale comunicazioni, contatti e interi thread di chat su WhatsApp, Telegram e Signal, rendendo di fatto inefficace la protezione crittografica una volta compromesso il telefono. Parallelamente, il trojan utilizza schermate di accesso false che replicano fedelmente quelle delle app bancarie per sottrarre credenziali e codici di sicurezza.
Il malware fornisce inoltre agli attaccanti un accesso remoto completo al dispositivo, consentendo di osservare tutte le attività dell’utente, iniettare testo, avviare app e persino oscurare lo schermo mentre vengono eseguite operazioni fraudolente in background, senza che la vittima se ne accorga. Le funzioni di persistenza e difesa, basate sui privilegi di amministratore del dispositivo, rendono Sturnus particolarmente difficile da individuare e rimuovere.
Secondo l’analisi di ThreatFabric, Sturnus è attualmente in fase di sviluppo o di test limitato, ed è già stato configurato per attacchi mirati contro istituti finanziari in tutta l’Europa meridionale e centrale, il che suggerisce la preparazione per una campagna più ampia. Tuttavia, nonostante sia ancora in fase di test o pre‑implementazione, il malware risulta già pienamente funzionale e, per architettura e capacità di evasione, più avanzato di molte famiglie di malware Android consolidate, lasciando intuire il rischio di campagne su larga scala nel prossimo futuro.
https://www.threatfabric.com/blogs/sturnus-banking-trojan-bypassing-whatsapp-telegram-and-signal
