Un nou malware descoperit în ecosistemul Android readuce în prim-plan vulnerabilităţile tot mai sofisticate ale smartphone-urilor. Cercetătorii MTI Security au identificat programul maliţios Sturnus, capabil să compromită atât mesajele considerate sigure, cât şi accesul la aplicaţiile bancare, ceea ce îl transformă într-una dintre cele mai periculoase ameninţări recente. Atacurile confirmate au fost observate mai ales în Europa Centrală şi de Sud, iar specialiştii avertizează că acestea ar putea reprezenta doar începutul unei campanii mai ample.
Sturnus are capacitatea de a citi mesajele din aplicaţii criptate precum WhatsApp, Telegram sau Signal, nu prin spargerea criptării, ci printr-un truc subtil: capturează conţinutul direct de pe ecran, în momentul în care mesajele sunt deja decriptate pentru afişare. Astfel, securitatea aplicaţiilor devine irelevantă dacă ecranul utilizatorului este compromis, iar atacatorii pot accesa instant conţinutul. Malware-ul se aliniază tendinţei actuale de a evita tehnicile brute şi de a exploata comportamentul natural al aplicaţiilor.
Pe lângă spionarea mesajelor, Sturnus poate accesa notificările, monitoriza modul în care utilizatorul navighează prin aplicaţii şi colecta date sensibile. De asemenea, poate suprapune ecrane false peste aplicaţiile bancare, imitând perfect interfaţa reală şi colectând în timp real nume de utilizator, parole sau coduri IBAN, fără ca utilizatorul să observe diferenţa. În plus, malware-ul poate simula un ecran de actualizare Android, obţine drepturi de administrator pentru a bloca dezinstalarea, monitoriza parolele şi metodele de deblocare şi deschide acces complet la telefon, inclusiv la contacte şi istoricul activităţilor.
Combinaţia dintre furtul datelor bancare şi accesul privilegiat îl transformă într-o ameninţare avansată cu potenţial de pagube semnificative. Metoda exactă de transmitere nu este clară, dar indicii sugerează că Sturnus ajunge în telefoane prin APK-uri maliţioase distribuite prin mesaje private, ataşamente suspecte sau aplicaţii care imită servicii legitime. Atacatorii testează tehnica pe un număr restrâns de ţinte înainte de o eventuală extindere globală, iar malware-ul este încă în faza de rafinare.
Google a reacţionat rapid, precizând că niciun caz nu implică aplicaţii din Play Store, unde Play Protect a blocat toate variantele cunoscute, şi că Android avertizează automat asupra comportamentului maliţios chiar în aplicaţiile instalate din surse externe. Cu toate acestea, mulţi utilizatori continuă să instaleze APK-uri din afara magazinului oficial, ceea ce reprezintă breşa exploatată de Sturnus şi alte malware-uri similare.
Sturnus demonstrează că tehnicile de atac evoluează rapid şi că protecţiile tradiţionale precum criptarea, parolele sau actualizările de securitate pot fi ocolite dacă atacatorul obţine acces vizual asupra ecranului. Pe lângă riscul pentru datele bancare, malware-ul se distinge prin manipulare psihologică, acces privilegiat obţinut prin spionarea parolelor şi camuflarea ca proces legitim al sistemului.
Pentru utilizatori, mesajul este clar: evită APK-urile din surse necunoscute, verifică atent aplicaţiile instalate şi nu ignora avertismentele sistemului. Sturnus nu este doar un virus nou, ci un semnal de alarmă privind evoluţia atacurilor mobile către forme tot mai sofisticate de fraudă digitală.
