malware Android
Un nuovo e sofisticato malware Android sta attirando l’attenzione dei ricercatori di sicurezza informatica: si chiama Sturnus, e secondo ThreatFabric potrebbe diventare una delle minacce più pericolose mai viste sul sistema operativo di Google. Ancora in fase di sviluppo, questo trojan è già in grado di bypassare la crittografia end-to-end di app come WhatsApp e Telegram, prendendo il controllo completo del dispositivo infetto.
Un trojan bancario con capacità estese
Sturnus si presenta come un classico trojan bancario, ma con capacità molto più avanzate. Una volta installato sullo smartphone, il malware stabilisce una connessione cifrata con il server dei cybercriminali e registra il dispositivo come “sorvegliato”, consentendo il controllo remoto totale. Può leggere messaggi, accedere ai contatti, eseguire comandi e perfino simulare interazioni dell’utente — tutto senza che la vittima si accorga di nulla.
La diffusione avviene principalmente tramite APK infetti mascherati da app legittime, come Google Chrome, o veicolati attraverso pubblicità malevole, link diretti e messaggi di phishing. Una volta che l’utente installa l’app fasulla e concede i permessi di accessibilità, il malware può fare praticamente qualsiasi cosa.
Come aggira la crittografia end-to-end
La forza di Sturnus risiede nell’abuso dei servizi di Accessibilità di Android, una tecnica ormai ricorrente nei malware più evoluti. Con questi privilegi, il trojan può leggere ciò che appare sullo schermo in tempo reale, intercettando messaggi e notifiche nel momento esatto in cui vengono digitati o visualizzati. In questo modo non è necessario decifrare alcuna comunicazione: Sturnus “vede” direttamente i contenuti già decrittati dall’app, aggirando così le protezioni di WhatsApp, Telegram o Signal. È una violazione che colpisce non tanto la rete o i protocolli di cifratura, quanto l’interazione dell’utente, punto debole intrinseco di qualsiasi dispositivo compromesso.
Una volta installato, è quasi impossibile da rimuovere
Se ottiene i privilegi di amministratore, Sturnus può impedire la disinstallazione manuale. In diversi casi simulerebbe perfino una falsa schermata di aggiornamento di sistema per nascondere attività fraudolente, come bonifici bancari non autorizzati o la modifica di password. Alcune varianti intercettano gli SMS di verifica per bypassare l’autenticazione a due fattori. I ricercatori di ThreatFabric segnalano che, per ora, le infezioni documentate si concentrano in Europa centrale e meridionale, ma si tratta probabilmente di test preliminari prima di una distribuzione su scala globale.
Come difendersi
Gli esperti raccomandano alcune regole fondamentali per evitare infezioni:
- Non installare mai APK da fonti esterne al Google Play Store.
- Verificare i permessi richiesti da ogni app e concedere solo quelli essenziali.
- Mantenere attivo Google Play Protect e aggiornare regolarmente il sistema operativo.
- Diffidare da app che promettono versioni “modificate” o “premium” di servizi noti.
Anche se Sturnus è ancora in evoluzione, il suo livello di sofisticazione fa temere una nuova ondata di attacchi mirati. È un promemoria di quanto l’ingegneria sociale e i permessi di sistema restino i bersagli preferiti dei cybercriminali nel mondo Android.
