O ecossistema Android enfrenta uma nova e sofisticada ameaça. Investigadores de segurança identificaram um novo trojan bancário, batizado de Sturnus, que se destaca pela capacidade de intercetar comunicações em plataformas de mensagens encriptadas e assumir o controlo total dos dispositivos das vítimas.
Embora ainda se encontre numa fase de desenvolvimento, o software malicioso já demonstrou ser totalmente funcional e perigoso, visando especificamente contas financeiras em várias instituições europeias.
Espionagem que contorna a encriptação
O que torna o Sturnus particularmente preocupante é a forma como contorna as medidas de segurança das aplicações de mensagens mais populares. Plataformas como o Signal, WhatsApp e Telegram utilizam encriptação ponta-a-ponta para proteger a privacidade dos utilizadores. No entanto, segundo um relatório da ThreatFabric, este trojan não precisa de quebrar essa encriptação.
Em vez disso, o Sturnus abusa dos Serviços de Acessibilidade do sistema operativo. Ao conseguir estas permissões, o malware consegue ler o conteúdo do ecrã em tempo real. Isto significa que ele captura as mensagens depois de estas terem sido desencriptadas pela aplicação legítima e exibidas ao utilizador. O software malicioso consegue ler conversas completas, nomes de contactos e até o texto que a vítima está a digitar, contornando completamente as proteções de privacidade destas apps.
Controlo remoto e fraude bancária
A ameaça não se fica pela espionagem. O Sturnus está equipado com funcionalidades avançadas de fraude bancária, utilizando sobreposições HTML (overlays) que imitam as interfaces de bancos legítimos para roubar credenciais de acesso.
Mais alarmante é a sua capacidade de controlo remoto através de VNC (Virtual Network Computing). Isto permite aos atacantes verem o ecrã da vítima em tempo real e realizarem ações como clicar em botões, fazer scroll ou injetar texto. Para esconder a atividade ilícita, o trojan pode exibir um ecrã preto ou uma falsa notificação de atualização de sistema, enquanto os criminosos operam em segundo plano para realizar transferências bancárias ou alterar definições de segurança.
A distribuição deste software malicioso tem sido detetada principalmente através de aplicações falsas, disfarçadas de navegadores como o Google Chrome ou apps de serviços genéricos. Uma vez instalado, o Sturnus tenta obter privilégios de Administrador do Dispositivo, o que dificulta a sua remoção e lhe permite bloquear tentativas de desinstalação.
Apesar de os investigadores notarem que o Sturnus ainda parece estar em fase de testes, com campanhas de baixo volume focadas no Sul e Centro da Europa, a sua arquitetura sugere que está pronto para ser utilizado em grande escala. Recomenda-se aos utilizadores que evitem descarregar aplicações fora da loja oficial e que tenham extremo cuidado ao conceder permissões de Acessibilidade a apps desconhecidas.
Nenhum comentário
Seja o primeiro!