Ce trojan Android contourne le chiffrement des messageries en lisant directement les échanges affichés sur l’appareil.
Le monde de la cybersécurité est en alerte face à Sturnus, un nouveau trojan bancaire Android qui s’attaque non seulement aux finances mais aussi à la confidentialité des communications. Ce malware est capable de contourner le chiffrement des applications de messagerie sécurisées telles que WhatsApp, Telegram et Signal, en capturant le contenu directement sur l’écran de l’appareil après déchiffrement.
Cette capacité unique lui permet de surveiller en temps réel les échanges supposément protégés de l’utilisateur, compromettant ainsi la confidentialité de conversations sensibles. Sturnus est actuellement en phase de développement ou de test limité, mais il cible déjà des institutions financières en Europe du Sud et centrale, laissant présager une campagne plus large à venir.
Sturnus : une menace sophistiquée pour la confidentialité et les finances
Sturnus se distingue par sa capacité à contourner les mesures de sécurité avancées grâce à une combinaison de techniques sophistiquées. Le malware utilise des superpositions HTML et un enregistrement des frappes basé sur l’accessibilité pour capturer les identifiants bancaires et autres données sensibles. Ces superpositions persistent dans une bibliothèque où chaque fichier HTML correspond à une application bancaire cible, et une fois activée, elle intercepte les données saisies par l’utilisateur pour les envoyer à un serveur de commande et de contrôle. Selon ThreatFabric, ces superpositions sont ensuite désactivées pour éviter toute détection. En parallèle, Sturnus utilise un système de journalisation qui capture les événements d’interaction utilisateur, permettant aux attaquants de reconstruire l’activité de l’utilisateur même lorsque la capture d’écran est bloquée.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Outre le vol de données bancaires, Sturnus compromet également la confidentialité des conversations sur les applications de messagerie sécurisées. En exploitant le service d’accessibilité d’Android, le malware peut lire en temps réel tout ce qui s’affiche à l’écran, y compris les contacts et les fils de conversation complets. Comme l’explique Generation-NT, cette méthode permet à Sturnus de contourner le chiffrement de bout en bout, offrant aux attaquants un aperçu direct des échanges privés. Cela représente une menace significative pour la sécurité des utilisateurs, car chaque message déchiffré devient accessible, sans aucune protection cryptographique restante.
Le contrôle à distance est une autre caractéristique clé de Sturnus, lui permettant de prendre le contrôle total des appareils infectés. Le malware utilise deux méthodes de capture d’écran complémentaires : la capture d’écran en temps réel via le framework de capture d’affichage d’Android et un système de secours qui construit des captures d’écran à partir des événements d’accessibilité lorsque la capture standard échoue. Cette approche permet une interaction à distance réactive, comme le détaille SecurityAffairs. De plus, en envoyant une carte structurée de tous les éléments visibles à l’écran, Sturnus offre aux attaquants la possibilité de cartographier l’ensemble de l’interface utilisateur, de comprendre sa disposition et d’effectuer des actions précises telles que des clics, des saisies de texte, des défilements et des lancements d’applications.
Des serveurs, des API et du temps.
DCOD est bénévole, mais l'hébergement a un coût. Participez aux frais techniques.
