Apesar dos esforços contínuos da Google e dos seus parceiros, como a Samsung, para blindar o ecossistema móvel, os cibercriminosos continuam a encontrar formas criativas de contornar as defesas. Uma nova ameaça, identificada como "Sturnus", está a preocupar os especialistas de segurança pela sua capacidade de espiar aplicações de mensagens encriptadas e roubar credenciais bancárias, com indícios de atividade já detetados no sul da Europa.
Espionagem sem quebrar a encriptação
Identificado por investigadores da MTI Security e reportado pela ThreatFabric, o Sturnus é um trojan bancário sofisticado que adota uma abordagem pragmática para roubar dados. Em vez de tentar o feito complexo de quebrar a encriptação de ponta-a-ponta de aplicações como o WhatsApp, Telegram ou Signal, o malware opta por capturar o conteúdo diretamente do ecrã do dispositivo.
Ao abusar das permissões de acessibilidade do Android, o Sturnus consegue ler as mensagens e informações apresentadas no ecrã após estas terem sido desencriptadas pela própria aplicação, tornando irrelevante a proteção criptográfica durante o trânsito dos dados.
Controlo total e alvo europeu
O perigo do Sturnus não se fica pela leitura de mensagens. O malware possui capacidades avançadas de acesso remoto (RAT), permitindo aos atacantes assumir o controlo total do equipamento. Isto inclui a capacidade de observar a atividade do utilizador em tempo real, injetar texto e até escurecer o ecrã do telemóvel para ocultar operações fraudulentas que estejam a decorrer em segundo plano.
Para o roubo de dados bancários, o trojan utiliza as já conhecidas técnicas de sobreposição (overlays). Quando o utilizador abre a sua aplicação bancária legítima, o malware sobrepõe uma janela falsa, mas visualmente idêntica, levando a vítima a inserir as suas credenciais, que são enviadas diretamente para os servidores dos criminosos.
Segundo o relatório, o Sturnus parece estar ainda numa fase de desenvolvimento ou de testes limitados, não tendo sido ainda distribuído em larga escala. No entanto, a sua atividade atual está focada em ataques direcionados na Europa Central e do Sul, o que sugere que Portugal poderá estar na lista de potenciais alvos futuros. A recomendação mantém-se: evite instalar aplicações fora da loja oficial e ative sempre a autenticação de dois fatores (2FA) onde for possível.
Nenhum comentário
Seja o primeiro!