Prima di procedere
Un nuovo allarme sicurezza scuote il mondo Android. I ricercatori di MTI Security hanno identificato Sturnus, un trojan in grado di assumere il controllo completo del dispositivo e intercettare le comunicazioni cifrate. Questo malware rappresenta una minaccia seria per la privacy e la sicurezza finanziaria degli utenti, combinando tecniche sofisticate di esfiltrazione dati, sovrapposizione di schermate bancarie fraudolente, keylogging avanzato e controllo remoto persistente.
Come Agisce Sturnus? Il trojan sfrutta il servizio di Accessibilità di Android per aggirare le protezioni di app di messaggistica come WhatsApp, Telegram e Signal. Invece di decifrare direttamente i messaggi, Sturnus li legge dopo che sono stati decodificati sullo schermo del dispositivo. Questo significa che il malware osserva ciò che compare sul display, accedendo a contatti, cronologie e messaggi una volta che il dispositivo è stato compromesso. Inoltre, è in grado di sovrapporre schermate di login bancarie contraffatte, replicando le interfacce delle app per ingannare gli utenti e rubare le loro credenziali. Il malware si maschera anche da aggiornamento di sistema Android, nascondendo le sue attività malevole dietro una facciata familiare.
La Risposta di Google e le Precauzioni da Prendere. Google, contattata da Android Authority, ha dichiarato che nessuna app contenente questo malware è stata trovata sul Google Play Store. L'azienda ha ribadito che gli utenti Android sono automaticamente protetti contro le versioni note di questo malware grazie a Google Play Protect, attivo di default sui dispositivi con Google Play Services. Google Play Protect è in grado di avvisare gli utenti o bloccare le app con comportamenti sospetti, anche se provenienti da fonti esterne al Play Store. Tuttavia, i ricercatori sottolineano che l'installazione di APK da canali non ufficiali rappresenta uno dei principali vettori di infezione. Al momento, Sturnus sembra colpire principalmente utenti dell'Europa meridionale e centrale.
Analisi Tecnica e Funzionalità Avanzate. L'analisi tecnica di ThreatFabric rivela una struttura di comunicazione complessa, con messaggi scambiati in chiaro e cifrati tramite WebSocket (WSS) e HTTP. Il trojan stabilisce una connessione protetta con un server di controllo, utilizzando chiavi di crittografia avanzate per proteggere le comunicazioni. Sturnus offre due modalità di controllo remoto: la prima consiste nello streaming del display in tempo reale, mentre la seconda utilizza una rappresentazione dettagliata degli elementi visibili sullo schermo. Quest'ultima modalità è più discreta, consuma meno banda e non mostra indicatori di acquisizione del display.
Persistenza e Monitoraggio. Per garantire la persistenza, il trojan cerca di ottenere i privilegi di amministratore del dispositivo. Una volta ottenuti, monitora le schermate delle impostazioni per impedire che l'utente li revochi. La rimozione tramite strumenti standard o ADB diventa impossibile finché tali privilegi non vengono disattivati manualmente. Sturnus integra anche un sistema di monitoraggio ambientale esteso, controllando connettività, stato della batteria, comportamenti USB, installazioni di app, cambi SIM, tentativi di rooting e altri parametri di sicurezza. Questo permette al trojan di adattare le sue tattiche operative in base al profilo del dispositivo.
Implicazioni e Prospettive Future. Secondo ThreatFabric, le campagne attuali sono brevi e limitate, suggerendo una fase di test. Tuttavia, la presenza di template e configurazioni specifiche per istituti finanziari dell'Europa meridionale e centrale indica la preparazione per operazioni più ampie. La modalità esatta di diffusione non è ancora confermata, ma si sospetta l'utilizzo di allegati malevoli via messaggistica, con il malware travestito da false versioni di Chrome o altre app popolari. La diffusione di Sturnus potrebbe avvenire anche tramite pubblicità ingannevoli o siti web compromessi. In futuro, il trojan potrebbe evolversi per sfruttare nuove vulnerabilità o tecniche di offuscamento, rendendo più difficile la sua rilevazione. La protezione dei dispositivi Android richiede quindi un approccio proattivo, basato sull'installazione di aggiornamenti di sicurezza, l'utilizzo di app antivirus affidabili e l'adozione di comportamenti prudenti durante la navigazione online e l'installazione di applicazioni.
