La cifratura end-to-end dovrebbe essere una garanzia: i tuoi messaggi su WhatsApp, Telegram o Signal viaggiano protetti, inaccessibili a chiunque si frapponga tra te e il destinatario. Eppure, un nuovo malware per Android chiamato Sturnus dimostra che questa protezione può essere aggirata con un’eleganza inquietante. Non attaccando la crittografia in sé, che resta matematicamente solida, ma semplicemente osservando quello che appare sul tuo schermo dopo che il messaggio è stato decodificato.
Scoperto dai ricercatori di MTI Security e analizzato in profondità da ThreatFabric, Sturnus rappresenta una minaccia sofisticata e multifunzionale. Questo trojan bancario gestito privatamente non si limita a sottrarre credenziali o a mostrare schermate false: prende il controllo completo del dispositivo infetto, trasformandolo in una finestra aperta sulla vita digitale della vittima. E lo fa sfruttando i servizi di Accessibilità di Android, una funzionalità pensata per aiutare utenti con disabilità, ma che nelle mani sbagliate diventa una chiave universale.
Il meccanismo è tanto semplice quanto efficace. Una volta installato e attivati i permessi necessari, Sturnus monitora costantemente l’interfaccia grafica del telefono. Quando apri WhatsApp, Telegram o Signal e leggi un messaggio, il malware vede esattamente ciò che vedi tu: contatti, cronologie complete delle conversazioni, file multimediali. La crittografia ha fatto il suo lavoro durante il trasporto, ma una volta che il contenuto è decodificato e visualizzato sullo schermo, diventa accessibile. È come avere qualcuno che legge sopra la tua spalla, in tempo reale, senza che tu te ne accorga.
Ma Sturnus va oltre la semplice intercettazione delle chat. Il trojan integra un arsenale completo di tecniche di attacco bancario. Può sovrapporre schermate di login false che replicano fedelmente l’interfaccia della tua app bancaria, inducendoti a digitare username, password e codici di sicurezza che finiscono direttamente nelle mani degli operatori. Questi overlay sono localizzati e personalizzati: il malware identifica le app installate sul dispositivo e presenta interfacce grafiche specifiche per ogni istituto bancario, aumentando drammaticamente le probabilità di successo della frode.
Il controllo remoto è un’altra caratteristica distintiva di Sturnus. Gli attaccanti dispongono di due modalità operative. La prima prevede lo streaming in tempo reale dello schermo attraverso una tecnologia basata sul protocollo VNC: possono letteralmente osservare tutto ciò che fai, fotogramma dopo fotogramma, convertito in un flusso video fluido e gestibile da remoto. La seconda modalità è più sofisticata e discreta: invece di trasmettere immagini, il malware invia una rappresentazione dettagliata degli elementi dell’interfaccia utente. Questo consente agli operatori di interagire con il dispositivo cliccando su pulsanti, inserendo testo, scorrendo schermate, avviando applicazioni o confermando permessi, il tutto consumando meno banda e senza attivare gli indicatori di acquisizione dello schermo che potrebbero insospettire l’utente.
Durante queste sessioni di controllo remoto, Sturnus può visualizzare una schermata nera a pieno schermo o un falso aggiornamento del sistema Android, mascherando completamente le operazioni fraudolente che sta eseguendo in background. L’utente vede un innocuo processo di aggiornamento, mentre in realtà il malware sta trasferendo denaro, modificando impostazioni o estraendo dati sensibili. La persistenza è garantita attraverso l’acquisizione dei privilegi di amministratore del dispositivo. Una volta ottenuti, Sturnus sorveglia attivamente le schermate delle impostazioni: se l’utente tenta di revocare questi privilegi, il malware forza automaticamente la chiusura della schermata e reindirizza altrove. Questo comportamento rende la rimozione tramite procedure standard praticamente impossibile. Nemmeno strumenti avanzati come ADB possono disinstallare il trojan finché i privilegi amministrativi rimangono attivi, creando un circolo vizioso difficile da spezzare senza competenze tecniche specifiche.
L’architettura di comunicazione di Sturnus è complessa e stratificata. Il malware avvia la connessione con i server di comando e controllo tramite una registrazione HTTP POST, ricevendo in risposta un identificativo univoco UUID e una chiave pubblica RSA. Genera quindi una chiave AES a 256 bit, la cifra con RSA e la trasmette per stabilire un canale protetto. Le comunicazioni successive utilizzano cifratura AES/CBC/PKCS5Padding con vettori di inizializzazione rinnovati, alternando messaggi in chiaro e cifrati attraverso WebSocket sicuri e HTTP. Questa struttura rende estremamente difficile il monitoraggio e l’analisi del traffico di rete per identificare il malware.
Il sistema di monitoraggio ambientale è altrettanto impressionante. Sturnus implementa dodici broadcast receiver e un thread dedicato per controllare continuamente connettività, stato della batteria, comportamenti USB, installazioni e disinstallazioni di app, cambi di SIM card, tentativi di rooting e una serie di altri parametri di sicurezza. Raccoglie informazioni dettagliate sull’hardware, i sensori disponibili, le condizioni di rete e un elenco completo delle applicazioni installate. Questo profilo costantemente aggiornato consente al malware di adattare dinamicamente le sue tattiche operative, rimanendo invisibile e massimizzando l’efficacia degli attacchi.
La distribuzione di Sturnus avviene attraverso canali non ufficiali. Il malware si camuffa da applicazioni apparentemente legittime come Google Chrome o app dal nome generico come Preemix Box, distribuite probabilmente tramite allegati malevoli in messaggi o link ingannevoli. Google ha confermato che nessuna versione del trojan è mai stata trovata sul Play Store ufficiale e che Google Play Protect, attivo di default sui dispositivi Android con Google Play Services, è in grado di rilevare e bloccare le varianti conosciute di Sturnus. La raccomandazione è chiara: installare applicazioni esclusivamente dal Play Store ufficiale e prestare massima attenzione a qualsiasi richiesta di permessi, specialmente quelli relativi ai servizi di Accessibilità e ai privilegi amministrativi.
Al momento, Sturnus sembra concentrato principalmente su utenti dell’Europa meridionale e centrale. Le campagne di distribuzione risultano brevi e limitate, segno probabile di una fase di test e perfezionamento. Tuttavia, la presenza di template e configurazioni specifiche per istituti finanziari di queste regioni indica che gli sviluppatori stanno preparando il terreno per operazioni più ampie e coordinate. La sofisticazione tecnica del malware, superiore a molte famiglie consolidate nel panorama Android, suggerisce che dietro Sturnus ci sia un’organizzazione strutturata con risorse significative e obiettivi di lungo periodo.
La combinazione di intercettazione delle chat cifrate, furto di credenziali bancarie, controllo remoto completo e meccanismi di persistenza avanzati rende Sturnus una delle minacce più complete e insidiose nel settore del mobile banking. Non si tratta di un semplice ladro di password o di un registratore di tasti: è uno strumento di sorveglianza e frode finanziaria progettato per estrarre il massimo valore da ogni dispositivo compromesso, rimanendo nascosto il più a lungo possibile.
