CONTEÚDO:
Novo malware para Android, identificado como Sturnus, representa uma ameaça significativa à segurança bancária e à privacidade dos usuários. Este trojan, ainda em fase de desenvolvimento, possui recursos avançados que lhe permitem monitorar conversas em aplicativos de mensagens com criptografia de ponta a ponta, como WhatsApp, Telegram e Signal. A descoberta foi feita por pesquisadores de segurança, que alertam para o potencial de uma campanha de ataques em larga escala, mirando principalmente instituições financeiras localizadas no sul e centro da Europa.
Sturnus: Um Trojan Bancário Sofisticado
O Sturnus se distingue de outros malwares por sua capacidade de interceptar informações em tempo real, burlando as proteções oferecidas pela criptografia dos aplicativos de mensagens. Em vez de quebrar a criptografia, o trojan captura o conteúdo da tela do dispositivo após a descriptografia ser realizada pelo aplicativo legítimo. Essa técnica permite que o malware acesse as mensagens e outras informações exibidas na tela, sem deixar rastros evidentes.
Como o Sturnus Opera
Após ser instalado em um dispositivo Android, o Sturnus solicita permissões de acessibilidade, originalmente criadas para auxiliar usuários com deficiência. Uma vez concedidas, essas permissões permitem que o malware monitore tudo o que é exibido na tela, registre cada toque e cada caractere digitado. Essa funcionalidade confere ao atacante uma visão completa das atividades do usuário, como se estivesse observando o uso do dispositivo em tempo real.
Comunicação Criptografada com Servidores
A comunicação entre o Sturnus e seus servidores de comando é realizada através de um sistema robusto de criptografia. Inicialmente, o malware estabelece uma conexão via HTTP e recebe um identificador único e uma chave de criptografia RSA do servidor. Em seguida, gera uma chave AES de 256 bits localmente no dispositivo, criptografa essa chave usando RSA e a envia de volta ao servidor. A partir desse ponto, toda a comunicação é protegida com criptografia AES forte, dificultando a detecção por sistemas de segurança que analisam o tráfego de rede.
Burlando a Criptografia em Apps de Mensagens
O Sturnus não quebra a criptografia de ponta a ponta dos aplicativos de mensagens. Em vez disso, ele aguarda que o aplicativo legítimo descriptografe a mensagem para exibi-la na tela. Quando o usuário abre um aplicativo como WhatsApp, Telegram ou Signal, o malware detecta automaticamente e ativa seu sistema de monitoramento. Ele passa a ler toda a interface do usuário, incluindo contatos, conversas e o conteúdo das mensagens.
Controle Remoto Completo do Dispositivo
Além de espionar mensagens, o Sturnus oferece aos atacantes controle remoto completo do dispositivo. Isso é alcançado através de duas técnicas complementares: a captura de tela em tempo real e o uso do serviço de acessibilidade para tirar screenshots. O malware também pode enviar descrições estruturadas da interface do usuário, permitindo que os criminosos cliquem em qualquer lugar, digitem em qualquer campo e controlem o dispositivo remotamente.
Tela Preta e Phishing
Uma das funcionalidades mais perigosas do Sturnus é o “black overlay”, uma tela preta que cobre completamente o dispositivo enquanto o malware executa operações em segundo plano, como transações bancárias fraudulentas. O malware também mantém templates de phishing em HTML armazenados no dispositivo, que são sobrepostos aos aplicativos bancários legítimos para capturar as credenciais do usuário.
Dificuldade na Remoção do Sturnus
Remover o Sturnus não é uma tarefa fácil. O malware obtém privilégios de administrador do dispositivo e impede a desativação desses privilégios. Ele também pode travar o dispositivo remotamente e bloquear qualquer tentativa de desinstalação. O Sturnus monitora continuamente a atividade do sistema, as configurações de segurança e o comportamento do usuário, adaptando suas táticas para garantir sua sobrevivência.
Monitoramento Ambiental Constante
O sistema de monitoramento ambiental do Sturnus rastreia continuamente a atividade do sistema, mudanças de conectividade, estados de bateria, transições de cartão SIM, instalação de aplicativos e comportamento USB. Ele também monitora configurações de segurança, como modo desenvolvedor, depuração ADB, status do SELinux e nível de patch de segurança do Android. Qualquer mudança é imediatamente reportada aos operadores, permitindo que adaptem suas táticas.
Perfil Detalhado do Dispositivo
Coletando informações de sensores, rede, hardware e lista de aplicativos instalados, o malware constrói um perfil detalhado do dispositivo. Isso ajuda os atacantes a avaliar riscos, detectar ambientes de análise e garantir que estão operando em dispositivos reais de vítimas reais.
Como se Proteger do Sturnus
A proteção contra o Sturnus exige atenção redobrada e a adoção de práticas básicas de segurança. É fundamental baixar aplicativos apenas de fontes oficiais, revisar as permissões de acessibilidade regularmente e desconfiar de aplicativos que solicitam privilégios de administrador do dispositivo. Manter o Android atualizado, usar soluções de segurança confiáveis e ativar a autenticação de dois fatores também são medidas importantes.
Atenção a Comportamentos Estranhos
É importante estar atento a comportamentos estranhos no celular, como bateria descarregando rapidamente, superaquecimento, tela preta inexplicável, aplicativos abrindo sozinhos ou lentidão repentina. Esses podem ser sinais de infecção. Se houver suspeita de que o dispositivo está comprometido, o ideal é fazer um backup dos dados pessoais importantes, restaurar o celular para as configurações de fábrica e reinstalar aplicativos apenas de fontes oficiais. Também é recomendável mudar todas as senhas de contas importantes usando um dispositivo limpo.
Fonte: https://www.tecmundo.com.br
