Cos'è Sturnus, il nuovo trojan Android che ruba soldi e password degli utenti
Gli esperti di cybersecurity hanno rilevato un nuovo trojan per Android chiamato Sturnus, in grado di rubare credenziali di accesso e bloccare lo smartphone
In Sintesi
- Sturnus è un nuovo trojan Android, mirato principalmente alle istituzioni finanziarie europee e in grado di ottenere un controllo quasi totale del dispositivo sfruttando i servizi di accessibilità.
- Ciò gli consente non solo di effettuare transazioni bancarie e rubare dati sensibili, ma anche di intercettare qualsiasi contenuto sullo schermo, leggere digitazioni, manipolare contenuti e bloccare il dispositivo per ostacolarne la rimozione.
Gli esperti di sicurezza informatica di ThreatFabric hanno scoperto un nuovo trojan per Android, chiamato Sturnus, capace di rubare dati, di effettuare transazioni bancarie e di intercettare qualsiasi contenuto sul telefono, anche quelli provenienti da applicazioni protette da crittografia end-to-end, come Signal, WhatsApp e Telegram.
Questa nuova minaccia segna un punto di svolta nel panorama dei malware perché è in grado di sfruttare una combinazione di tecniche avanzate di sorveglianza e controllo remoto che sollevano seri dubbi sulla reale sicurezza degli smartphone Android e su quella delle comunicazioni digitali.
Come funziona Sturnus e cosa può fare
Secondo i ricercatori, Sturnus è una minaccia in costante evoluzione, ma si presenta già da ora come perfettamente operativo. I bersagli individuati sono principalmente gli istituti finanziari europei, cosa che sottolinea una preparazione specifica e un approccio altamente mirato.
A rendere ancora più problematico il quadro è la capacità di questo trojan di ottenere un controllo quasi totale del dispositivo, grazie soprattutto allo sfruttamento abusivo dei servizi di accessibilità di Android. Una volta installato, infatti, non si limita a sottrarre dati sensibili ma è anche in grado di leggere testo sullo schermo, intercettare digitazioni, manipolare contenuti, navigare tra le app, effettuare transazioni bancarie e addirittura modificare le impostazioni critiche.
L’accesso a privilegi di amministratore, inoltre, gli permette inoltre di bloccare il dispositivo, osservare cambiamenti nelle password e ostacolare ogni tentativo di rimozione.
L’infezione sembra partire da APK alterati, camuffati da applicazioni legittime come Google Chrome. I vettori di distribuzione non sono ancora del tutto chiari, ma gli esperti ipotizzano l’uso di campagne pubblicitarie fraudolente, messaggi diretti o siti malevoli naturalmente esterni al Google Play Store.
Una volta presente sul dispositivo, Sturnus instaura una comunicazione con il server di comando e controllo attraverso un sistema ibrido che alterna scambi in chiaro e crittografia RSA e AES. Questo consente agli aggressori di interagire direttamente con lo smartphone della vittima, come se lo avessero fisicamente tra le mani.
Secondo il report condiviso da ThreatFabric, la diffusione di questo trojan è ancora limitata, probabilmente si tratta di una specie di fase di test per dare il via a una campagna più estesa. Le vittime confermate si trovano soprattutto nell’Europa meridionale e centrale, ma la natura modulare del malware lascia presagire una possibile espansione geografica e funzionale in tempi ragionevolmente brevi.
Come difendere il proprio smartphone da Sturnus
Per ridurre il rischio di infezione, gli esperti di sicurezza informatica ribadiscono l’importanza di evitare l’installazione di file APK provenienti da fonti non verificate, consigliando a tutti gli utenti Android di non disattivare Play Protect, la protezione integrata di Google contro le app malevole.
Allo stesso modo, è fondamentale prestare attenzione ai permessi concessi alle app, in particolare quelli relativi alle funzioni di accessibilità, che possono trasformarsi in un varco privilegiato per i malware più aggressivi.
