Um novo malware bancário chamado Sturnus emergiu como uma ameaça significativa para os utilizadores móveis em toda a Europa.
Pesquisadores de segurança descobriram que este sofisticado trojan Android pode capturar mensagens criptografadas de aplicativos de mensagens populares como WhatsApp, Telegram e Signal, acessando o conteúdo diretamente da tela do dispositivo após a descriptografia.
A capacidade do malware de monitorar essas comunicações marca um grande avanço nas ameaças bancárias móveis, combinando roubo de credenciais com amplos recursos de acesso remoto.
O malware opera coletando credenciais bancárias por meio de telas de login falsas e convincentes que replicam perfeitamente aplicativos bancários legítimos.
O que torna o Sturnus particularmente perigoso é a sua capacidade de fornecer aos invasores o controle total do dispositivo, permitindo-lhes observar todas as atividades do usuário sem interação física.
Os invasores podem injetar mensagens de texto, interceptar comunicações e até mesmo escurecer a tela do dispositivo enquanto realizam transações fraudulentas em segundo plano, deixando as vítimas completamente inconscientes do roubo ocorrido em seus dispositivos comprometidos.
Os analistas de segurança do Threat Fabric identificaram o Sturnus como um trojan operado de forma privada, atualmente em fase inicial de testes, com campanhas direcionadas já configuradas contra instituições financeiras em toda a Europa Central e do Sul.
Embora o malware permaneça em implantação limitada, os pesquisadores enfatizam que o Sturnus é totalmente funcional e mais avançado do que várias famílias de malware estabelecidas em certos aspectos, particularmente no que diz respeito ao seu protocolo de comunicação e capacidades de suporte de dispositivos.
Estágios iniciais (fonte – Threat Fabric)
Esta combinação de recursos sofisticados e foco geográfico direcionado sugere que os invasores estão refinando suas ferramentas antes de lançar operações mais amplas.
O atual cenário de ameaças indica que o Sturnus.A opera com segmentação específica por região, utilizando modelos de sobreposição personalizados concebidos para vítimas da Europa Central e do Sul.
Os operadores do malware demonstram um foco claro em comprometer plataformas de mensagens seguras, testando a capacidade do trojan de capturar comunicações confidenciais em diferentes ambientes.
As relativamente poucas amostras detectadas até agora, combinadas com campanhas curtas e intermitentes em vez de actividades sustentadas em grande escala, indicam que a operação permanece em fases de avaliação e ajuste.
Compreendendo o protocolo de comunicação
A complexa estrutura de comunicação do malware inspirou seu nome, traçando paralelos com o pássaro Sturnus vulgaris, cuja conversa rápida e irregular salta entre assobios, cliques e imitações.
Sturnus reflete esse padrão caótico por meio de sua mistura em camadas de comunicações de texto simples, RSA e AES que alternam de forma imprevisível entre mensagens simples e complexas.
Capacidades (Fonte – Threat Fabric)
O malware estabelece uma conexão com seu servidor de comando e controle usando canais WebSocket (WSS) e HTTP, transmitindo uma combinação de dados criptografados e de texto simples principalmente por meio de conexões WebSocket.
O handshake técnico começa com uma solicitação HTTP POST em que o malware registra o dispositivo usando uma carga útil de espaço reservado. O servidor responde com um identificador de cliente UUID e uma chave pública RSA.
O malware então gera uma chave AES de 256 bits localmente, criptografa-a usando RSA/ECB/OAEPWithSHA-1AndMGF1Padding e transmite a chave criptografada de volta enquanto armazena a chave AES de texto simples no dispositivo no formato Base64.
Assim que a troca de chaves for concluída, todas as comunicações subsequentes receberão proteção por meio de AES/CBC/PKCS5Padding com uma chave de criptografia de 256 bits.
O trojan gera novos vetores de inicialização de 16 bytes para cada mensagem, acrescenta-os a cargas criptografadas e agrupa os resultados em protocolos binários personalizados contendo cabeçalhos de tipo de mensagem, dados de comprimento de mensagem e UUIDs de cliente.
Este sofisticado esquema de criptografia demonstra a experiência dos desenvolvedores em comunicações seguras, mantendo ao mesmo tempo funcionalidades maliciosas.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas. Defina CSN como fonte preferencial no Google.
