Els ciberdelinqüents no donen treva. Una nova i sofisticada amenaça de programari maliciós ha encès les alarmes de seguretat mòbil a Europa. Es tracta de Sturnus, un troià bancari dissenyat per a dispositius Android que no només apunta a les credencials financeres, sinó que ha desenvolupat tècniques inèdites per burlar les proteccions de xifratge de punta a punta d'aplicacions populars com WhatsApp i Signal.

Segons la informació revelada per BleepingComputer, el troià Sturnus explota una debilitat ja coneguda però perillosament efectiva: els serveis d'accessibilitat d'Android. Aquests serveis, dissenyats originalment per ajudar usuaris amb discapacitats a interactuar amb els seus dispositius, són la principal porta d'entrada del programari maliciós.

Sturnus amenaça els usuaris d'Android a Europa

Sturnus actua interceptant els missatges sense intentar trencar el xifratge de l'aplicació. En canvi, espera que l'aplicació de missatgeria, com WhatsApp o Signal, desxifri el missatge i el mostri a la pantalla. En aquest instant, Sturnus utilitza els permisos d'accessibilitat per llegir i capturar tot el que apareix visible, aconseguint així sortejar qualsevol protecció de xifratge de punt a punt. Per infectar les víctimes, el troià es disfressa d'aplicacions d'ús comú, com Google Chrome.

A diferència d'altres amenaces, la perillositat de Sturnus rau en la seva capacitat per prendre el control complet del dispositiu. El programari maliciós estableix sessions VNC xifrades, permetent als atacants manipular el mòbil remotament com si el tinguessin físicament a les seves mans.

A més del robatori de missatges, l'arsenal de Sturnus inclou mètodes d'atac financer:

Superposició maliciosa: desplega finestres falses que imiten la interfície d'aplicacions bancàries legítimes per enganyar l'usuari i robar les seves credencials.

Supervivència garantida: per evitar ser detectat i eliminat, sol·licita privilegis d'administrador del dispositiu, bloquejant qualsevol intent de desinstal·lació tradicional.

Comunicació blindada: tota la comunicació entre el troià i els seus servidors està completament xifrada mitjançant una combinació de RSA i AES, un nivell de sofisticació que el situa al nivell d'amenaces avançades com ToxicPanda.

Els investigadors han identificat que Sturnus es dirigeix específicament a Europa Central i del Sud, concentrant-se en entitats bancàries locals. Tot i que els atacs inicials són de volum reduït, la comunitat de seguretat tem que això sigui una fase de prova abans d'una campanya de distribució massiva.

L'amenaça confirma la necessitat de augmentar la precaució de l'usuari d'Android. Per mitigar aquest risc, és imprescindible evitar la instal·lació de qualsevol fitxer APK fora de la botiga oficial de Google Play Store, mantenir actiu Google Play Protect i, sobretot, ser extremadament restrictiu amb la concessió de permisos d'accessibilitat a aplicacions desconegudes o sospitoses.