Un nou tip de malware pentru Android atrage atenția cercetătorilor din securitate cibernetică, după ce mai multe telefoane din Europa Centrală și de Sud au fost compromise. Programul, identificat sub numele Sturnus, combină interceptarea mesajelor cu atacuri direcționate asupra aplicațiilor bancare, ceea ce îl plasează în zona amenințărilor cu impact ridicat.
Sturnus folosește o abordare simplă, dar eficientă. Nu forțează criptarea serviciilor de mesagerie, ci preia conținutul direct de pe ecran în momentul afișării. Astfel, mesajele din WhatsApp, Telegram sau Signal devin vizibile pentru atacatori chiar dacă circulă prin canale protejate, notează Broadcom. Această tehnică arată că o aplicație poate respecta toate standardele de securitate, însă sistemul în ansamblu devine vulnerabil dacă dispozitivul este compromis.
Investigațiile indică și alte funcții îngrijorătoare. Malware-ul poate urmări activitatea din aplicații, poate accesa notificări și poate colecta date care, în mod normal, nu ar trebui expuse. Una dintre metodele preferate constă în afișarea unor ferestre false peste aplicațiile bancare reale. Interfața este copiată aproape perfect, iar utilizatorul introduce fără să știe numele de utilizator, parole sau date financiare care ajung imediat la operatorii atacului.
În unele cazuri, Sturnus afișează și un fals ecran de actualizare Android pentru a masca procesele de instalare. Odată activ, își atribuie drepturi de administrator și blochează încercările de eliminare. Monitorizează metodele de deblocare ale telefonului, inclusiv codurile PIN sau modelele grafice, ceea ce îi oferă acces complet la întregul dispozitiv.
Distribuirea exactă nu a fost stabilită, însă indiciile duc spre fișiere APK provenite din surse neoficiale, trimise prin mesaje, descărcate din pagini obscure sau prezentate ca aplicații legitime. Unele mostre imitau chiar aplicații cunoscute, precum browserul Chrome. Experții Threat Fabric consideră că programul se află încă în faza de testare, ceea ce lasă loc unor versiuni mai agresive.
Google a transmis că variantele identificate nu au ajuns în Play Store și că Play Protect blochează mostrele cunoscute. Sistemul Android continuă să afișeze avertismente la instalarea aplicațiilor suspecte, inclusiv a celor provenite din surse externe.
Cu toate acestea, instalarea de APK-uri rămâne o practică des întâlnită, fie pentru a accesa versiuni modificate ale unor aplicații, fie pentru programe care nu se găsesc în magazinul oficial. Acest comportament este exploatat de Sturnus, care combină imitarea interfețelor, colectarea discretă de date și obținerea de privilegii avansate.
Specialiștii afirmă că amenințări de acest tip vor continua să apară și să evolueze. Pentru utilizatori, cea mai sigură strategie rămâne instalarea aplicațiilor din surse verificate, atenție la alertele sistemului și evitarea fișierelor trimitere din medii nesigure. Sturnus confirmă că atacurile pe mobil devin tot mai bine adaptate comportamentelor obișnuite ale utilizatorilor și mai greu de detectat fără măsuri minime de precauție.
Comentează