I ricercatori di ThreatFabric hanno recentemente divulgato i dettagli tecnici relativi a Sturnus, un nuovo trojan bancario per sistemi Android progettato non solo per il furto di credenziali finanziarie, ma per l’esfiltrazione totale di dati sensibili e il controllo remoto del dispositivo infetto.

Sebbene attualmente valutato come operazione privata ancora in fase di “valutazione”, le capacità tecniche dimostrate dal malware suggeriscono una minaccia in rapida evoluzione, mirata specificamente agli istituti finanziari dell’Europa centro-meridionale.

Sturnus è un pericoloso trojan bancario che aggira la crittografia

L’aspetto più allarmante di Sturnus, che lo differenzia dalla massa di malware generici, è la sua capacità di aggirare le protezioni offerte dalle app di messaggistica sicura. Secondo il rapporto di ThreatFabric, il malware è in grado di monitorare le comunicazioni su piattaforme come WhatsApp, Telegram e Signal.

Non si tratta di una violazione dei protocolli crittografici delle app, bensì di un approccio più insidioso: abusando dei Servizi di Accessibilità di Android, Sturnus cattura il contenuto direttamente dallo schermo del dispositivo dopo che il messaggio è stato decriptato per essere mostrato all’utente. Ogni volta che la vittima apre una di queste applicazioni, il malware raccoglie i contenuti delle chat e invia i dettagli di ogni elemento visibile dell’interfaccia ai server di comando e controllo (C2).

La natura primaria di Sturnus rimane quella di un trojan bancario. La sua strategia principale per il furto di denaro risiede negli attacchi “overlay”. Il malware è in grado di rilevare quando l’utente apre un’applicazione bancaria legittima e, in una frazione di secondo, sovrappone una schermata di login falsa ma identica all’originale.

Una volta che l’utente ignaro inserisce le proprie credenziali, queste vengono inviate agli attaccanti. Per non destare sospetti, l’overlay viene disabilitato immediatamente dopo il furto dei dati, permettendo all’app reale di funzionare.

Le applicazioni utilizzate come vettore di infezione identificate finora includono software apparentemente innocui o versioni contraffatte di app note, come un falso “Google Chrome” (com.klivkfbky.izaybebnx) e “Preemix Box” (com.uvxuthoq.noscjahae).

Controllo totale e persistenza

Sturnus non si limita a osservare; può agire. Attraverso canali WebSocket, il malware permette agli operatori di stabilire sessioni VNC (Virtual Network Computing), garantendo loro la possibilità di interagire con lo smartphone compromesso in tempo reale. Gli attaccanti possono ricostruire il layout dello schermo a distanza ed eseguire azioni come tocchi, inserimento di testo, scorrimento e persino concedere permessi ad altre app malevole.

Per operare indisturbato, Sturnus utilizza tecniche di ingegneria sociale avanzate contro la stessa vittima. Può visualizzare un overlay a schermo intero che simula un aggiornamento del sistema operativo Android, bloccando qualsiasi feedback visivo. Mentre l’utente attende il termine del finto aggiornamento, il malware esegue azioni critiche in background.

Inoltre, il software è programmato per l’autodifesa: monitora costantemente se l’utente tenta di accedere alle impostazioni per revocare i privilegi di amministratore o disinstallare l’app. Se rileva tale tentativo, Sturnus naviga automaticamente via dalla pagina o chiude le impostazioni, rendendo estremamente difficile la sua rimozione tramite metodi standard o strumenti come ADB.

Un “imitatore” in fase di test

Il nome Sturnus è un riferimento allo storno europeo (Sturnus vulgaris), noto per la sua capacità di imitare i suoni. Analogamente, il malware utilizza un pattern di comunicazione misto che fonde testo in chiaro, crittografia AES e RSA per confondere l’analisi del traffico di rete.

Sebbene la diffusione appaia al momento limitata, ThreatFabric avverte che la combinazione di un targeting geografico specifico e la focalizzazione su app di alto valore indica che gli sviluppatori stanno “affinando i loro strumenti in vista di operazioni più ampie o coordinate“.

La raccolta continua di dati sui sensori, sulle condizioni di rete e sull’hardware delle vittime serve a creare un profilo dispositivo dettagliato, utile per adattare le tattiche future ed eludere i sistemi di rilevamento.