Per chi ha fretta
È stato identificato un pericoloso trojan bancario per Android chiamato Sturnus, in grado di aggirare la crittografia end-to-end di app come WhatsApp, Telegram e Signal. Il malware sfrutta il Servizio di Accessibilità per leggere direttamente ciò che appare sullo schermo, intercettando tutti i messaggi decifrati. Ottenendo il controllo remoto completo tramite VNC, i criminali possono effettuare transazioni bancarie nascoste, approvare l’autenticazione a più fattori (MFA) e manipolare il dispositivo, mirando principalmente a istituti finanziari dell’Europa meridionale e centrale. La prevenzione è cruciale e richiede di non scaricare app da fonti non ufficiali e di monitorare attentamente i permessi di accessibilità.
Sturnus: Il Trojan Bancario che Rende Cieca la Crittografia
L’evoluzione delle minacce digitali ha raggiunto un nuovo livello di sofisticazione con l’identificazione di Sturnus, un trojan bancario mobile che rappresenta un pericolo significativo per gli utenti Android, in particolare in Europa. Questo malware è progettato per vanificare le misure di sicurezza più avanzate, tra cui la crittografia dei dati e l’autenticazione a più fattori.
Il successo di Sturnus risiede nella sua capacità di aggirare completamente la crittografia end-to-end. Invece di tentare di decifrare i messaggi durante la trasmissione, il trojan agisce a valle, dopo che l’app di messaggistica legittima (come Signal, WhatsApp o Telegram) ha già decifrato il contenuto.
La Tecnica della “Lettura dello Schermo”
Sturnus ottiene l’accesso ai messaggi sfruttando il Servizio di Accessibilità di Android. Questo servizio è stato originariamente creato per aiutare gli utenti con disabilità a interagire con il dispositivo, ma è regolarmente abusato dai malware. Ottenendo questi privilegi, Sturnus può:
- Leggere Contenuti Visibili: Accedere a tutto ciò che viene visualizzato sullo schermo, inclusi i messaggi in entrata e in uscita, i contatti e le chat private.
- Intercettare l’MFA: Leggere i codici di autenticazione a più fattori (MFA) inviati via SMS o tramite app di messaggistica.
Controllo Totale tramite VNC e Finalità Criminali
Oltre all’intercettazione dei dati, Sturnus stabilisce una connessione di VNC (Virtual Network Computing) crittografata con i suoi server di comando e controllo (C2). Questo permette agli aggressori di ottenere il controllo remoto completo del dispositivo infetto.
I criminali possono così eseguire operazioni finanziarie in modo nascosto:
- Operazioni Occulte: Attivare una schermata nera (overlay) sullo schermo della vittima per eseguire azioni furtive, come avviare app bancarie.
- Trasferimenti Fraudolenti: Simulare la pressione di tasti e tap per trasferire fondi dai conti bancari o wallet della vittima.
- Elusione dell’MFA: Poiché il trojan legge i codici di conferma (MFA) in tempo reale, può inserirli automaticamente per autorizzare le transazioni fraudolente.
I ricercatori evidenziano che Sturnus sta attualmente prendendo di mira, in una fase di test preliminare, gli utenti di istituti finanziari nell’Europa meridionale e centrale, suggerendo l’imminenza di campagne di attacco su vasta scala. La distribuzione iniziale del malware avviene tramite file APK dannosi, spesso mascherati da applicazioni popolari come browser web o utility.
Consigli per Evitare l’Infezione e Rimedi Essenziali
La difesa contro trojan che abusano dei Servizi di Accessibilità richiede cautela nell’installazione delle app e una conoscenza precisa dei permessi concessi.
| Situazione | Consigli per Evitare l’Infezione (Prevenzione) | Rimedi (Se si è Caduti nell’Infezione) |
| Download Iniziale | 1. Solo App Store Ufficiali: Scaricare applicazioni esclusivamente dal Google Play Store ufficiale. Evitare file APK provenienti da siti web esterni, annunci pubblicitari sospetti (malvertising) o link in messaggi privati. | 1. Rimuovere i Permessi di Amministratore: Se l’infezione è stata identificata (ad esempio, tramite un tool antivirus), il primo passo è revocare i permessi di amministratore, di solito andando in Impostazioni > Sicurezza > App di amministrazione dispositivo. |
| Permessi di Accesso | 2. Monitorare i Servizi di Accessibilità: Controllare regolarmente (in Impostazioni > Accessibilità) quali app hanno il permesso di accedere allo schermo. Nessuna app non essenziale o appena installata dovrebbe avere questo privilegio. | 2. Avvio in Modalità Provvisoria: Se la revoca dei permessi è bloccata, riavviare il dispositivo in Modalità Provvisoria, che disattiva tutte le app di terze parti, permettendo la disinstallazione manuale del malware. |
| Sicurezza Bancaria | 3. Usare Dispositivi Dedicati (Se Possibile): Valutare l’utilizzo di un telefono o tablet “pulito” e dedicato solo alle operazioni bancarie e ai wallet finanziari. | 3. Cambiare le Credenziali: Dopo la pulizia del dispositivo, cambiare immediatamente tutte le password e i PIN, in particolare quelli bancari e delle app di messaggistica. |
| Rimozione e Ripristino | 4. Aggiornare l’OS: Mantenere il sistema operativo Android costantemente aggiornato per beneficiare delle ultime patch di sicurezza che limitano gli abusi dei permessi. | 4. Contattare la Banca: Informare immediatamente la propria banca o istituto finanziario dell’infezione per bloccare o monitorare transazioni sospette sul conto. |
#checkblacklist, #Trojan, #AndroidSecurity, #CyberCrime
Lascia un commento