La communauté de la cybersécurité a mis l'accent sur Sturnus, un cheval de Troie bancaire pour Android Cette menace combine des techniques de fraude financière et d'espionnage des communications. Elle permet de lire les conversations WhatsApp, Telegram ou Signal immédiatement après leur décryptage par les applications sur l'appareil, et offre également aux attaquants un contrôle à distance quasi total du terminal.
Les chercheurs de ThreatFabric décrivent un logiciel pleinement fonctionnel, bien qu'encore à un stade précoceCe logiciel malveillant permet de voler des identifiants via des écrans superposés, d'enregistrer les frappes au clavier et de contrôler à distance l'appareil mobile. Jusqu'à présent, son activité a été principalement détectée en Europe centrale et méridionale, une région où les utilisateurs et les institutions financières doivent faire preuve d'une extrême prudence. d'autres menaces telles que PlayPraetor.
Qu'est-ce que Sturnus et comment ça fonctionne ?
La clé du succès de Sturnus réside dans le Utilisation abusive du service d'accessibilité Androidce qui vous permet de voir la même chose que l'utilisateur à l'écran et souligne l'importance de Contrôler le chargement latéral dans AndroidAinsi, lorsqu'une application de messagerie est ouverte, le logiciel malveillant attend que le contenu apparaisse et le capture, contournant ainsi le chiffrement de bout en bout sans le casser.
En plus d'espionner les conversations, ce cheval de Troie déploie attaques par superposition Ces applications imitent les identifiants de connexion aux services bancaires mobiles pour voler des informations d'identification. Elles peuvent surveiller quelle application est au premier plan, enregistrer le texte saisi et afficher de faux formulaires pour tromper les victimes.
Un autre pilier de l'arsenal de Sturnus est son module de télécommande de type VNCVia un canal chiffré, l'attaquant peut appuyer sur des boutons, saisir du texte, naviguer dans les menus, approuver des transactions ou modifier des paramètres. Pour dissimuler son activité, il utilise des subterfuges visuels, comme le masquage de l'écran par un écran noir ou l'affichage d'une fausse mise à jour système tout en opérant en arrière-plan.
L'impact va au-delà du vol de mots de passe : la possibilité de lire les conversations et documents partagés Elle expose les utilisateurs à des risques supplémentaires, tels que le chantage ou la fraude ultérieure, tout en facilitant les mouvements furtifs au sein de l'appareil compromis.
Vecteur d'infection et communication avec le serveur
Les infections détectées débutent lorsque la victime installe un APK malveillant camouflé en applications légitimesPar exemple, Google Chrome ou une application appelée Preemix Box. Bien que la méthode exacte varie, des campagnes d'hameçonnage ont été observées, et le recours à la publicité malveillante pour inciter aux téléchargements en dehors de la boutique officielle est suspecté.
Une fois à l'intérieur, Sturnus demande la permission à Privilèges d'administrateur de service et de périphérique d'accessibilitéGrâce à cette combinaison, il peut lire le texte à l'écran, simuler des gestes, enregistrer des entrées et rendre sa désinstallation extrêmement difficile, tout en restant persistant sur le système.
Le logiciel malveillant effectue un enregistrement initial auprès de son infrastructure de commande et de contrôle (C2) et établit canaux de communication mixtesCe système combine des échanges en clair avec un chiffrement RSA et AES selon la phase de l'opération. Des connexions via HTTPS et un canal supplémentaire utilisant WebSocket chiffré pour les commandes en temps réel et l'exfiltration de données ont été observés.
Selon ThreatFabric, Sturnus présente un architecture modulaire et développement durableCe modèle, prétendument géré par une société privée, facilite les mises à jour rapides, l'intégration de nouvelles fonctionnalités et l'adaptation aux mesures défensives, notamment l'installation ou la suppression silencieuse d'applications.
Portée en Europe et mesures de protection
Pour l'instant, les opérateurs de Sturnus semblent se concentrer sur clients d'institutions financières d'Europe centrale et méridionaleLes campagnes à faible envergure suggèrent une phase de test avant un déploiement plus large. Néanmoins, les capacités observées la placent parmi les menaces mobiles les plus complexes actuellement disponibles.
Si les essais sont concluants, il est possible que le logiciel malveillant tente étendre son champ d'action à d'autres pays européens, y compris le marché espagnol, en tirant parti de son accès à l'écran et de ses commandes pour contourner les barrières de sécurité et les contrôles multifacteurs.
Recommandations pratiques pour réduire le risque :
- Évitez d'installer des fichiers APK provenant de sources autres que Google Play et soyez prudent. Liens de téléchargement reçus par SMS, e-mail ou messagerie.
- Examiner et limiter les autorisations de Service d'accessibilité Applications strictement nécessaires.
- Maintenez votre système et vos applications à jour et actifs. Jouer Protéger et vérifier régulièrement les permis accordés.
- Activer des mesures bancaires sécurisées supplémentaires : 2FA/AMF, alertes d'activité et validations hors bande.
Si vous soupçonnez quelque chose, il vaut mieux agir rapidement : déconnecter les données Dans un premier temps, informez la banque afin de bloquer les transactions, faites analyser l'appareil avec une solution fiable, révoquez les autorisations d'accès et, si les problèmes persistent, envisagez une réinitialisation d'usine et un changement de mot de passe.
La combinaison de la lecture des messages après décryptage, du contrôle à distance en direct et superpositions bancaires convaincantes Cela fait de Sturnus un ennemi redoutable. Bien que ses agents agissent encore avec prudence en Europe, l'étendue de ses techniques exige une vigilance accrue et la mise en œuvre des meilleures pratiques avant que ses campagnes ne prennent de l'ampleur.
