LEBIGDATA.FR I.A, Cloud & Cybersécurité
Ce cheval de Troie bancaire, baptisé Sturnus, intercepte en temps réel les messages sur WhatsApp et Signal des utilisateurs d’Android.
Sturnus, ce cheval de Troie bancaire Android, est capable d’infiltrer les applications de messagerie chiffrée les plus populaires. Ce logiciel malveillant surveille les communications confidentielles via des applications comme WhatsApp, Telegram et Signal. Il combine aussi le vol d’identifiants à un contrôle total de l’appareil. Pour ce faire, il capture le contenu directement sur l’écran une fois que le message a été déchiffré par l’application légitime.
Un cheval de Troie et espion
L’arsenal de Sturnus lui permet de dérober des identifiants bancaires. Il affiche de faux écrans de connexion convaincants qui imitent à la perfection les applications bancaires légitimes.
Au-delà du vol de données, ce trojan Android octroie aux hackers un contrôle à distance très étendu. Les opérateurs peuvent ainsi observer l’intégralité de l’activité de l’utilisateur et injecter du texte sans interaction physique de la victime.
Une fonctionnalité masque l’écran de l’appareil. Pendant ce temps, des transactions frauduleuses s’exécutent en arrière-plan, à l’insu de l’utilisateur.
L’analyse de cette opération suggère qu’elle se trouve actuellement en phase de développement ou de tests limités. Néanmoins, Sturnus est déjà configuré pour des attaques ciblées spécifiquement des institutions financières en Europe du Sud et centrale.
Même si le logiciel malveillant est en pré-déploiement, il est déjà pleinement fonctionnel. Son protocole de communication et sa compatibilité avec les appareils sont plus avancés que ceux des familles de logiciels malveillants plus établies.
Sturnus ignore le chiffrement
Pour exfiltrer les données, Sturnus s’appuie sur deux mécanismes étroitement intégrés. Le premier utilise des superpositions HTML. Tandis que le second se base sur l’enregistrement des frappes au clavier via le service d’accessibilité Android.
Son moteur de superposition gère un répertoire persistant de modèles de phishing. Ces modèles se trouvent dans le répertoire interne de l’application malveillante. Chaque fichier HTML correspond à une application bancaire ciblée.
Lorsqu’une superposition se déclenche, le logiciel malveillant lance une activité spécifique. Cette activité contient une WebView configurée. Un pont JavaScript intercepte et transmet directement au serveur de commande et de contrôle (C2) toutes les données saisies par la victime.
Une fois les informations volées, Sturnus désactive la superposition correspondante pour limiter les répétitions et réduire le risque d’éveiller les soupçons. Le malware prend également en charge une superposition de blocage plein écran qui masque leurs activités.
Le système complet d’enregistrement des frappes au clavier utilise, quant à lui, le service d’accessibilité Android. Il traite des événements clés comme la modification de texte ou le clic sur des éléments.
Ce système capture le texte saisi et suit les changements de focus. Il enregistre aussi les interactions avec l’interface utilisateur.
Mais son rôle principal est de surveiller l’arborescence de l’interface utilisateur en continu. Il envoie des journaux structurés décrivant tout ce qui est affiché à l’écran.
C’est cette même capacité qui permet le contrôle des applications de messagerie. Sturnus surveille l’application au premier plan. Il active automatiquement la collecte d’arborescence de l’interface utilisateur dès qu’une victime ouvre WhatsApp, Signal ou Telegram.
Puisqu’il exploite les journaux du service d’accessibilité, il lit en temps réel tout ce qui s’affiche à l’écran.
Le contrôle total et la persistance
Sturnus prend en charge les sessions à distance complètes. Les opérateurs peuvent interagir avec l’appareil de la victime grâce à deux techniques de capture d’écran complémentaires.
La méthode principale s’appuie sur le système de capture d’écran. Une méthode de secours utilise des captures d’écran basées sur l’accessibilité.
Les données d’écran sont encodées et transmises. Le malware confie la gestion de la session à une bibliothèque native qui implémente le protocole VNC RFB.
En parallèle du flux visuel, Sturnus expose une seconde couche de contrôle. Elle se base sur les informations d’interface utilisateur issues de l’accessibilité.
Au lieu d’images, elle transmet des descriptions structurées de chaque élément. Cela permet aux attaquants de cartographier l’écran et d’effectuer des actions précises.
Pour garantir sa persistance, Sturnus obtient et défend activement les privilèges d’administrateur de l’appareil. Ces privilèges lui permettent de surveiller les changements de mot de passe et l’activité de l’écran de verrouillage.
Ils lui permettent de verrouiller l’appareil à distance. Surtout, ils rendent sa suppression extrêmement difficile. Dès que l’utilisateur accède à des écrans de paramètres sensibles, le logiciel malveillant détecte la tentative. Il quitte alors automatiquement la page pour interrompre l’utilisateur.
En complément, Sturnus assure une surveillance étendue de l’environnement. Douze récepteurs de diffusion internes et un processus de vérification de sécurité suivent l’activité du système.
Ils surveillent l’état de l’alimentation, les changements de carte SIM et l’installation d’applications. Le système signale immédiatement toute modification aux opérateurs.
Ce trojan Android collecte des informations sur les capteurs, le réseau et l’inventaire des applications. Grâce à cette boucle de rétroaction, Sturnus peut éviter la détection et rester opérationnel, même dans des environnements d’analyse.
Restez à la pointe de l'information avec LEBIGDATA.FR !
- Partager l'article :
