È stata individuata una nuova tipologia di malware denominata Sturnus, in grado di sfruttare le funzionalità di accessibilità di Android per diffondersi e compromettere la sicurezza degli utenti senza destare sospetti. Questa minaccia si manifesta principalmente attraverso l’installazione di file APK malevoli, con conseguenze rilevanti sulla privacy e sull’integrità dei dati personali.
caratteristiche principali del malware sturnus
Sturnus agisce acquisendo permessi elevati sul dispositivo, monitorando costantemente l’interfaccia utente, le conversazioni delle app di messaggistica più diffuse — come WhatsApp, Telegram e Signal — e registrando ogni pressione sui pulsanti. Non intercetta direttamente la crittografia delle chat, ma sfrutta la capacità di visualizzare il contenuto a schermo grazie ai privilegi concessi dalle impostazioni di accessibilità.
Inoltre, il malware è in grado di generare schermate false che riproducono fedelmente l’interfaccia delle applicazioni bancarie tramite sovrapposizioni HTML, con lo scopo di sottrarre credenziali finanziarie. Parallelamente può simulare aggiornamenti Android fasulli per mascherare le proprie attività dannose.
modalità di diffusione e funzionamento tecnico
L’origine dell’infezione sembra legata a file APK distribuiti al di fuori del Google Play Store, spesso camuffati da versioni contraffatte del browser Chrome o altre app preinstallate. Una volta installato, Sturnus abusa delle impostazioni “Mostra su altre app” per leggere testi a schermo, registrare video dello schermo e replicare interfacce utente sensibili. Può inoltre inserire testo automaticamente e navigare all’interno del sistema operativo.
Grazie ai permessi da amministratore ottenuti sul dispositivo, il malware può controllarne il blocco, impedire la disinstallazione anche tramite ADB (Android Debug Bridge) e monitorare tentativi di sblocco o digitazione password.
tecniche avanzate di comunicazione cifrata
Sturnus utilizza un mix complesso tra comunicazioni in chiaro e cifrate con RSA ed AES a 256 bit. Viene generata una chiave AES direttamente sul dispositivo infetto che viene inviata ai server degli attaccanti; tutte le successive trasmissioni sono criptate per garantire la segretezza dei dati sottratti.
diffusione geografica ed evoluzione della minaccia
I ricercatori dell’agenzia ThreatFabric hanno confermato che Sturnus è già attivo in diverse aree dell’Europa centrale e meridionale nonostante sia ancora in fase preliminare di sviluppo. Il malware mostra caratteristiche tecniche più sofisticate rispetto ad altre famiglie maligne consolidate.
misure preventive consigliate contro sturnus
- Evitare tassativamente l’installazione di applicazioni da fonti esterne al Google Play Store;
- Mantenere attivo Google Play Protect, che monitora comportamenti sospetti anche su app provenienti da sorgenti non ufficiali;
- Non aprire allegati o link sospetti ricevuti tramite messaggi o email;
- Aggiornare regolarmente il sistema operativo e le app ufficiali per ridurre vulnerabilità;
- Prestare attenzione ai permessi richiesti dalle applicazioni installate.
dichiarazione ufficiale google play protect sulla minaccia sturnus
Secondo quanto comunicato da Google:
“Al momento non sono presenti applicazioni infette da questo malware nel Google Play Store. Gli utenti Android sono protetti automaticamente dalle versioni note del malware grazie a Google Play Protect attivo sui dispositivi con servizi Google Play.”
Lascia un commento