Apesar de estar fora da Google Play Store, um novo trojan bancário para Android está a preocupar especialistas em cibersegurança. Chamado Sturnus, o malware foi identificado por investigadores da MTI Security da ThreatFabric e destaca-se por algo especialmente grave: a capacidade de ler mensagens (mesmo as que são encriptadas de ponta a ponta) no WhatsApp, Telegram e Signal.
A ameaça, ainda em fase inicial de desenvolvimento, já opera com controlo total do dispositivo, mecanismos avançados de fraude e recursos que ultrapassam muitas famílias de malware já estabelecidas.
Como o malware consegue ler mensagens encriptadas
O Sturnus não quebra a encriptação. Em vez disso, captura as mensagens diretamente da tela, depois de serem desencriptadas pelo próprio aplicativo — um método que contorna completamente qualquer proteção de ponta a ponta.
Ao abusar do Serviço de Acessibilidade do Android, o malware consegue:
-
Ler tudo o que aparece no ecrã em tempo real
-
Capturar texto digitado
-
Ver conversas completas
-
Identificar nomes de contactos
-
Registar mensagens enviadas e recebidas
Controlo total do dispositivo e roubo de credenciais
O Sturnus oferece aos operadores um nível de controlo raro em malwares móveis. Entre as funcionalidades confirmadas estão:
-
roubo de credenciais bancárias por meio de sobreposições HTML extremamente convincentes
-
registo completo de teclas, cliques, mudanças de janela e de toda a estrutura da interface
-
controlo remoto via VNC, permitindo navegar no telefone como se estivesse na mão do atacante
-
sobreposição preta de ecrã, que oculta operações em segundo plano
-
bloqueio do dispositivo e prevenção de remoção
-
roubo automático de PINs e palavras-passe para desbloquear o aparelho
Quando a vítima abre um aplicativo bancário, o malware ativa modelos de phishing específicos para cada região, recolhendo informações sensíveis.
Quando abre WhatsApp, Signal ou Telegram, o modo de captura passa a monitorizar conversas e mensagens imediatamente.
Disseminação limitada, mas com alvos definidos
De acordo com os investigadores, até agora, as campanhas observadas são pequenas e esporádicas, sugerindo que o grupo por trás do Sturnus ainda está a testar a infraestrutura da ameaça antes de uma operação maior.
As amostras encontradas apontam para alvos no sul e centro da Europa, tanto em bancos quanto em plataformas de mensagens.
O relatório menciona que o trojan utiliza APKs maliciosos disfarçados de apps como Google Chrome ou Preemix Box. O Bleeping Computer observa que ainda não se sabe exatamente como este malware está a ser distribuído, mas provavelmente a sua disseminação está a acontecer via publicidade e mensagens diretas.
Como se proteger
Os especialistas recomendam medidas essenciais para evitar a infeção:
-
Não instalar APKs de fora da Google Play
-
Manter o Google Play Protect ativo
-
Evitar conceder permissões de acessibilidade a aplicações sem necessidade
