Multi-threat Android malware Sturnus steals Signal, WhatsApp messages

Sturnus : Un nouveau cheval de Troie Android aux capacités étendues

Un nouveau logiciel malveillant Android, baptisé Sturnus, représente une menace avancée capable de voler des messages issus d’applications de messagerie sécurisées telles que Signal, WhatsApp et Telegram, en contournant leur chiffrement de bout en bout. En outre, il peut prendre le contrôle total de l’appareil. Bien qu’encore en développement, ce logiciel malveillant est fonctionnel et cible des institutions financières européennes via des modèles d’interface spécifiques à chaque région. Sturnus se distingue par son utilisation combinée de communications en texte brut, RSA et AES cryptées avec le serveur de commande et de contrôle (C2).

Points clés

• Vol de messages chiffrés : Sturnus capture le contenu des messages après leur décryptage par les applications légitimes, en lisant directement l’écran de l’appareil.
• Prise de contrôle complète du dispositif : Le malware obtient les privilèges d’administrateur de l’appareil Android, lui permettant d’effectuer des actions à distance, de modifier des paramètres, voire d’installer de nouvelles applications, souvent sous couvert d’une interface utilisateur trompeuse (par exemple, un faux écran de mise à jour Android).
• Vol d’identifiants bancaires : Utilise des superpositions HTML pour dérober les identifiants des comptes bancaires.
• Contrôle à distance en temps réel : Permet un contrôle à distance complet via une session VNC.
• Méthode d’infection : Les infections débutent par le téléchargement de fichiers APK malveillants déguisés en applications légitimes. La distribution est probablement assurée par de la publicité malveillante ou des messages directs.
• Communication sécurisée avec le C2 : Utilise un canal HTTPS crypté pour les commandes et l’exfiltration des données, ainsi qu’un canal WebSocket crypté AES pour les opérations VNC en temps réel.
• Obscurcissement et résistance à la suppression : Le malware tente d’empêcher la révocation de ses privilèges ou sa désinstallation, bloquant les méthodes de nettoyage standard tant que ses droits d’administrateur ne sont pas manuellement révoqués.

Vulnérabilités

L’article ne mentionne pas de CVE spécifiques liées à Sturnus. Cependant, il exploite des fonctionnalités légitimes d’Android qui, lorsqu’elles sont abusées par un logiciel malveillant, constituent des vecteurs de compromission :

• Services d’accessibilité : Sturnus abuse des services d’accessibilité pour lire le texte à l’écran, capturer les saisies de l’utilisateur, observer la structure de l’interface, détecter le lancement d’applications, cliquer sur des boutons, faire défiler du contenu, injecter du texte et naviguer sur le téléphone.
• Privilèges d’administrateur de l’appareil : Ces privilèges confèrent un contrôle étendu sur l’appareil, incluant la capacité de le verrouiller à distance et d’empêcher sa suppression.

Recommandations

• Éviter de télécharger des fichiers APK en dehors du Google Play Store.
• Maintenir la protection Google Play Protect active.
• Ne pas accorder les autorisations d’accessibilité à moins qu’elles ne soient absolument nécessaires et que l’application soit de confiance.
• Être vigilant face aux publicités malveillantes et aux messages suspects pouvant distribuer des logiciels malveillants.

Source