Un nou tip de malware pentru Android, denumit Sturnus, atrage atenția experților în securitate cibernetică după ce mai multe dispozitive din Europa Centrală și de Sud au fost compromise. Programul combină interceptarea mesajelor cu atacuri asupra aplicațiilor bancare, fiind catalogat drept o amenințare cu impact ridicat.

Potrivit analizei Broadcom, Sturnus folosește o metodă simplă, dar extrem de eficientă: nu sparge criptarea aplicațiilor de mesagerie, ci preia conținutul direct de pe ecran în momentul afișării. Astfel, mesajele din WhatsApp, Telegram sau Signal devin vizibile pentru atacatori chiar dacă sunt transmise prin canale securizate.

Investigațiile indică și alte funcții periculoase. Malware-ul poate monitoriza activitatea din aplicații, accesa notificările și colecta date sensibile. Una dintre tehnicile preferate este afișarea unor ferestre false peste aplicațiile bancare reale, imitând perfect interfața acestora. Utilizatorii introduc astfel credențiale sau date financiare care ajung direct la operatorii atacului.

În unele cazuri, Sturnus afișează un fals ecran de actualizare Android pentru a masca instalarea. Odată activ, își acordă drepturi de administrator, blochează încercările de eliminare și poate chiar monitoriza codurile de deblocare ale telefonului, obținând acces deplin la dispozitiv.

Mecanismul de distribuție nu este încă stabilit cu exactitate, însă indiciile arată spre fișiere APK provenite din surse neoficiale, trimise prin mesaje sau descărcate de pe site-uri obscure. Unele mostre imitau aplicații legitime, inclusiv browserul Chrome. Experții Threat Fabric susțin că Sturnus se află în continuare în faza de testare, ceea ce ar putea permite apariția unor variante și mai agresive.