Pesquisadores de segurança identificaram o Sturnus, um novo trojan bancário para Android. O malware, ainda em fase de desenvolvimento, já demonstra capacidades avançadas e tem como alvo instituições financeiras do sul e centro da Europa, sugerindo que os criminosos estão se preparando para uma campanha maior.
O diferencial preocupante do Sturnus é sua habilidade de monitorar conversas em aplicativos com criptografia ponta a ponta como WhatsApp, Telegram e Signal. É importante reforçar que a criptografia desses apps não foi quebrada.
Na verdade, o malware usa uma técnica mais perigosa — ele captura o conteúdo diretamente da tela do celular depois que as mensagens já foram descriptografadas pelo próprio aplicativo legítimo.
Os pesquisadores ainda não detalharam como o malware se espalha, então é importante reforçar o cuidado ao navegar pela internet. Falando sobre Brasil, a região é atacado pelo Eternidade Stealer, que você pode conhecer melhor aqui.
Como o malware funciona
O Sturnus é classificado como um trojan bancário completo, com recursos que vão muito além do roubo de credenciais financeiras. Depois de instalado no dispositivo Android, ele solicita permissões de acessibilidade — aquelas que foram criadas para ajudar pessoas com deficiência a usar o celular.
Com essas permissões ativas, o malware consegue ver tudo que aparece na tela, registrar cada toque e cada palavra digitada. É como se alguém estivesse literalmente olhando por cima do seu ombro enquanto você usa o telefone, mas de forma completamente invisível.
O sistema de comunicação do Sturnus com seus servidores de comando é particularmente robusto. Ele estabelece uma conexão inicial via HTTP, recebe um identificador único e uma chave de criptografia RSA do servidor. Em seguida, gera uma chave AES de 256 bits localmente no dispositivo, criptografa essa chave usando RSA e envia de volta.
A partir daí, toda comunicação é protegida com criptografia AES forte, usando um vetor de inicialização diferente para cada mensagem. Isso dificulta a detecção por sistemas de segurança que analisam padrões de tráfego de rede. O malware ainda mantém um canal WebSocket paralelo, usado especialmente durante sessões de controle remoto.
O truque que burla a criptografia do WhatsApp, Telegram e Signal
Aqui está o ponto mais preocupante: o Sturnus não precisa quebrar a criptografia ponta a ponta desses aplicativos. Ele simplesmente espera que o aplicativo legítimo faça o trabalho de descriptografar a mensagem para exibi-la na tela.
Quando você abre o WhatsApp, Telegram ou Signal, o malware detecta automaticamente e ativa seu sistema de monitoramento. Ele passa a ler toda a árvore de interface do usuário — uma estrutura que descreve cada elemento visível na tela: contatos, conversas, o conteúdo de cada mensagem que chega ou é enviada.
O usuário vê a interface normal do aplicativo, com o cadeadinho de segurança indicando que a conversa está protegida. Mas do ponto de vista prático, toda aquela proteção criptográfica já não importa. O ataque acontece depois da descriptografia, no momento em que a informação precisa ser exibida para você ler.
Essa técnica é particularmente eficaz porque funciona em tempo real e não deixa vestígios óbvios. Não há necessidade de interceptar pacotes de rede, não há sinais de que alguém está "escutando" a conversa. O malware simplesmente registra o que você já pode ver.
Controle total do seu celular sem você perceber
Além de espionar mensagens, o Sturnus oferece aos atacantes controle remoto completo do dispositivo através de duas técnicas complementares. A primeira usa o sistema nativo de captura de tela do Android para transmitir vídeo em tempo real. A segunda funciona como backup: quando a captura tradicional está bloqueada, o malware usa o serviço de acessibilidade para tirar screenshots.
Mas o recurso mais sofisticado não envolve vídeo. Em vez de transmitir imagens da tela (que consomem muita banda e podem ser detectadas), o Sturnus envia descrições estruturadas de cada elemento da interface. Ele mapeia botões, campos de texto, menus e tudo que está visível — e envia essa informação ao atacante.
Com esse mapa em mãos, os criminosos conseguem clicar em qualquer lugar, digitar em qualquer campo, rolar a tela, abrir aplicativos e até confirmar permissões. Tudo isso remotamente, sem que apareçam indicadores de captura de tela que normalmente alertariam o usuário.
Uma das funcionalidades mais perigosas é o "black overlay" — uma tela preta que cobre completamente o dispositivo enquanto o malware executa operações em segundo plano. Você vê o celular com a tela escura, aparentemente desligado ou travado, mas na verdade transações bancárias fraudulentas estão sendo realizadas naquele exato momento.
O Sturnus também mantém um arsenal de templates de phishing em HTML armazenados no dispositivo. Cada arquivo corresponde a um aplicativo bancário específico. Quando você abre o app do banco, o malware sobrepõe uma tela falsa perfeitamente idêntica à original, captura suas credenciais e as envia aos criminosos.
A persistência que dificulta a remoção
Remover o Sturnus não é simples. O malware consegue privilégios de administrador do dispositivo e defende ativamente esses privilégios. Quando você tenta acessar as configurações para desativar o status de administrador, o malware detecta através do monitoramento de acessibilidade e automaticamente navega para longe da tela de configurações.
Enquanto mantém esses privilégios, o Sturnus pode travar o dispositivo remotamente e bloqueia qualquer tentativa de desinstalação — tanto pela interface normal quanto por ferramentas técnicas como ADB. É uma proteção em múltiplas camadas que garante a sobrevivência do malware.
O sistema de monitoramento ambiental do Sturnus é igualmente impressionante. Doze receptores internos rastreiam continuamente atividade do sistema, mudanças de conectividade, estados de bateria, transições de cartão SIM, instalação de apps e comportamento USB.
Ele também monitora configurações de segurança como modo desenvolvedor, depuração ADB, status do SELinux e nível de patch de segurança do Android. Qualquer mudança é imediatamente reportada aos operadores, permitindo que adaptem suas táticas.
Coletando informações de sensores, rede, hardware e lista de aplicativos instalados, o malware constrói um perfil detalhado do dispositivo. Isso ajuda os atacantes a avaliar riscos, detectar ambientes de análise (como emuladores usados por pesquisadores) e garantir que estão operando em dispositivos reais de vítimas reais.
Como se proteger do Sturnus
A proteção contra o Sturnus começa com práticas básicas de segurança, mas exige atenção redobrada por se tratar de uma ameaça sofisticada.
- Baixe aplicativos apenas de fontes oficiais. O Sturnus, como a maioria dos trojans Android, precisa ser instalado pela vítima. Evite lojas de aplicativos alternativas e desconfie de APKs recebidos por mensagens ou e-mails, mesmo que pareçam vir de conhecidos;
- Revise permissões de acessibilidade regularmente. Acesse as configurações do Android, procure por "Acessibilidade" e verifique quais aplicativos têm essas permissões ativas. Se encontrar algo suspeito ou que você não reconhece, desative imediatamente. Aplicativos legítimos raramente precisam de permissões de acessibilidade;
- Desconfie de apps que pedem para se tornarem administradores do dispositivo. Pouquíssimos aplicativos legítimos precisam desse nível de privilégio. Se um app solicita isso sem uma razão clara e justificável, não conceda;
- Mantenha o Android atualizado. Atualizações de segurança corrigem vulnerabilidades que podem ser exploradas por malware. Configure seu dispositivo para instalar atualizações automaticamente quando disponíveis;
- Use soluções de segurança confiáveis. Antivírus móveis de empresas reconhecidas podem detectar comportamentos suspeitos e bloquear instalações maliciosas antes que causem dano;
- Ative a autenticação de dois fatores baseada em aplicativo autenticador em vez de SMS. Embora o Sturnus consiga interceptar códigos exibidos na tela, aplicativos autenticadores adicionam uma camada extra de proteção que dificulta fraudes mesmo se suas credenciais forem roubadas;
- Fique atento a comportamentos estranhos no celular: bateria descarregando rápido sem motivo, celular esquentando quando não está em uso, tela preta inexplicável, aplicativos abrindo sozinhos ou lentidão repentina podem ser sinais de infecção.
Se suspeitar que seu dispositivo está comprometido, o ideal é fazer um backup dos dados pessoais importantes (fotos, contatos) em um computador, restaurar o celular para as configurações de fábrica e reinstalar aplicativos apenas de fontes oficiais. Também mude todas as senhas de contas importantes usando um dispositivo limpo.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
