Ce redoutable trojan est principalement un outil bancaire pensé pour opérer discrètement sur les appareils Android. Son objectif est de piller les comptes en banque en Europe. Pour y parvenir, il utilise des techniques de superposition bien connues pour imiter les applications bancaires et capturer les mots de passe. Mais sa véritable force, celle qui le distingue, réside dans son aptitude à espionner les communications que l'on pensait inviolables.
Comment Sturnus parvient-il à lire des messages chiffrés ?
Le secret de Sturnus ne réside pas dans le cassage du chiffrement de bout en bout, une tâche quasiment impossible. Le logiciel malveillant adopte une approche bien plus rusée et directe. Il exploite les services d'accessibilité d'Android, une fonctionnalité système initialement prévue pour aider les utilisateurs en situation de handicap.
Une fois que l'utilisateur lui a accordé ces permissions, souvent par tromperie, le virus peut littéralement lire tout ce qui s'affiche à l'écran. Il capture donc les conversations une fois qu'elles ont été déchiffrées par l'application légitime pour être présentées. C'est comme si un espion regardait en permanence par-dessus votre épaule. Vos discussions sur WhatsApp, Signal ou Telegram sont ainsi exposées en clair, avec les noms des contacts et l'historique des échanges.
Quelles sont ses autres capacités de nuisance ?
Au-delà de l'espionnage des messages, Sturnus est un outil de fraude complet. Il utilise une technique de superposition (overlay) pour afficher de fausses pages de connexion qui imitent à la perfection les véritables applications bancaires. Lorsque la victime saisit ses identifiants, ils sont immédiatement exfiltrés vers les serveurs des pirates.
Le malware peut également prendre le contrôle quasi-total de l'appareil. Les cybercriminels peuvent naviguer, cliquer et taper à distance, comme s'ils tenaient le téléphone entre leurs mains. Pour masquer leurs actions frauduleuses, ils sont capables d'afficher un faux écran de mise à jour système, bloquant toute interaction de l'utilisateur pendant qu'ils effectuent des virements en arrière-plan. Cette prise en main à distance est si avancée qu'elle leur permet aussi de bloquer toute tentative de suppression du virus.
Comment se propage ce virus et comment s'en protéger ?
Pour le moment, Sturnus est considéré comme étant dans une phase de test ou de développement. Sa diffusion reste donc encore limitée. La propagation de ce malware se ferait très probablement via de fausses applications, notamment des versions modifiées de Google Chrome, partagées sous forme de fichiers APK en dehors des boutiques officielles.
La menace viendrait principalement de publicités malveillantes ou de campagnes de phishing ciblées. Pour se protéger, la règle d'or reste immuable : ne téléchargez des applications qu'à partir de sources fiables comme le Google Play Store. Évitez à tout prix d'installer des fichiers APK provenant de liens inconnus, car ils constituent le principal vecteur d'infection pour ce type de menace sophistiquée.