Sturnus, un nouveau logiciel malveillant pour Android, cible les utilisateurs en Europe en volant des messages de WhatsApp et Signal tout en prenant le contrôle total des dispositifs. Il utilise des techniques sophistiquées pour surpasser les protections de sécurité habituelles, rendant la vigilance indispensable.
Sturnus vole des messages de WhatsApp et Signal en contournant le chiffrement, tout en prenant le contrôle total du dispositif via les permissions d’accessibilité d’Android
Sturnus, un nouveau cheval de Troie bancaire pour Android, a été signalé en Europe. Il possède la capacité de voler des messages provenant d’applications telles que WhatsApp et Signal, tout en prenant le contrôle complet du dispositif. Ce malware peut contourner les protections de chiffrement de bout en bout grâce à des techniques inédites dans les menaces mobiles.
Selon BleepingComputer, Sturnus exploite les services d’accessibilité d’Android pour lire tout ce qui apparaît à l’écran. Comment fonctionne-t-il exactement ? Le cheval de Troie attend que les applications déchiffrent les messages, puis les capture, contournant ainsi toute protection de chiffrement. Pour infecter les dispositifs, il se fait passer pour des applications connues telles que Google Chrome.
Un malware prenant le contrôle total
La caractéristique la plus préoccupante de Sturnus est sa capacité à exercer un contrôle à distance complet. Le cheval de Troie met en place des sessions VNC chiffrées, permettant aux attaquants d’utiliser le mobile comme s’ils l’avaient physiquement entre les mains. Les permissions d’accessibilité constituent la porte d’entrée principale, rappelant les méthodes de DroidBot, qui employait des techniques similaires pour accéder à des informations sensibles.
De plus, il affiche de fausses fenêtres imitant l’interface de votre banque pour voler des données. Cette méthode a déjà été observée chez d’autres chevaux de Troie déguisés en applications bancaires légitimes, mais Sturnus va plus loin. Pour assurer sa pérennité, il demande des privilèges d’administrateur du dispositif, empêchant toute tentative de désinstallation traditionnelle.
La communication est entièrement chiffrée, utilisant une combinaison de texte clair, RSA et AES, tant pour l’enregistrement initial que pour l’envoi de commandes et de données volées. Tout cet arsenal technique le place au même niveau que des menaces sophistiquées comme ToxicPanda, mais avec des capacités d’interception de messages bien supérieures.
Les chercheurs ont remarqué que Sturnus cible spécifiquement l’Europe Centrale et du Sud, y compris certaines institutions bancaires locales. Les attaques identifiées jusqu’à présent étaient de faible volume, suggérant que nous pourrions être face à une phase de tests avant un éventuel déploiement à plus grande échelle. Ce schéma rappelle d’autres cas ayant débuté par des opérations limitées, tels que El Padrino, avant de s’étendre.
Pour se prémunir contre cette menace, il est essentiel d’éviter l’installation d’APK externes à Google Play Store et de garder Play Protect actif. Il convient également d’être très restrictif concernant les permissions d’accessibilité, surtout à la lumière de cas comme celui-ci. Sturnus démontre que les menaces mobiles évoluent sans cesse, rendant une vigilance constante de la part des utilisateurs indispensable.