Sturnus: o trojan Android que ameaça a privacidade de mensagens criptografadas
Pesquisadores de segurança identificaram um novo trojan bancário para Android chamado Sturnus, que representa uma séria ameaça por sua capacidade avançada de espionagem e controle remoto. Segundo as análises, esse malware pode interceptar mensagens de aplicativos com criptografia de ponta a ponta — como WhatsApp, Signal e Telegram — aproveitando-se dos serviços de Acessibilidade do sistema Android.
Como o Sturnus opera
Diferentemente de malwares que tentam quebrar a criptografia diretamente, o Sturnus adota uma abordagem mais sofisticada: ele lê o conteúdo da tela do dispositivo após a aplicação descriptografar a mensagem, capturando o texto em tempo real. Essa técnica permite que ele “veja” as conversas privadas sem precisar interferir no protocolo de segurança dos aplicativos de mensagens.
Além disso, o trojan é capaz de assumir controle remoto do aparelho por meio de sessões VNC (Virtual Network Computing), permitindo aos invasores monitorar a atividade do usuário, navegar por menus, injetar comandos, e até ocultar suas operações exibindo telas falsas, como uma “atualização de sistema” ou bloqueio total.
Roubo de credenciais bancárias
Outro ponto preocupante é a funcionalidade financeira do Sturnus. Ele utiliza overlays em HTML, que simulam telas de login de bancos legítimos. Quando a vítima abre um aplicativo bancário real, o trojan intercepta essa abertura e exibe uma interface falsa que solicita credenciais — e, ao inserir os dados, o usuário entrega diretamente suas informações para os criminosos.
Para consolidar seu poder de persistência, o Sturnus solicita permissões elevadas em Android, incluindo administrador de dispositivo, dificultando sua remoção por usuários comuns.
Arquitetura de comunicação e exfiltração
De acordo com pesquisadores da ThreatFabric, o trojan mantém uma arquitetura de comunicação robusta e segura com seus servidores de comando (C2). Ele combina criptografia RSA e AES para proteger os dados trafegados e usa WebSocket para operações em tempo real, como o controle remoto via VNC.
Além disso, há uma fase de registro durante a instalação: o malware se conecta a um servidor C2 para receber um identificador único e sua chave pública RSA, que será usada para criptografar a chave AES gerada localmente.
Métodos de distribuição
Ainda não está completamente definido como o Sturnus é distribuído em larga escala, mas as amostras observadas sugerem que ele se disfarça como aplicativos legítimos muito comuns, como uma versão falsa do Google Chrome, ou mesmo apps genéricos com nomes plausíveis. Esse tipo de isca facilita que usuários desavisados baixem o APK malicioso sem perceber a ameaça.
Riscos e implicações para os usuários
-
Privacidade: como o Sturnus pode monitorar mensagens criptografadas, chats que o usuário considerava seguros deixam de ser tão privados.
-
Fraude bancária: com o uso de overlays falsos, ele rouba credenciais financeiras, o que pode levar a transferências não autorizadas, saques ou outros golpes bancários.
-
Controle do dispositivo: por meio do VNC, os atacantes podem manipular o aparelho como se estivessem com ele nas mãos, podendo fazer quase tudo que o usuário faz — incluindo instalar outros malwares.
-
Dificuldade de remoção: por ter privilégios elevados, o Sturnus pode bloquear sua própria desinstalação ou impedir que o usuário saiba que está presente, permanecendo ativo por muito tempo.
Medidas de proteção recomendadas
Como analista de cibersegurança, recomendo fortemente que usuários e organizações adotem as seguintes práticas para mitigar o risco:
-
Instalar aplicativos somente de fontes confiáveis, como a Google Play Store, evitando baixar APKs de sites desconhecidos ou suspeitos.
-
Ter cuidado ao conceder permissões de acessibilidade a aplicativos, especialmente apps que pedem esse tipo de permissão sem uma justificativa clara.
-
Usar soluções de segurança para dispositivos móveis, que façam análise de comportamento, e não apenas verificação por assinatura.
-
Manter o sistema Android sempre atualizado, aplicando patches de segurança assim que disponíveis.
-
Revistar regularmente os aplicativos instalados, especialmente aqueles com permissões elevadas, e remover imediatamente qualquer app desconhecido ou que pareça suspeito.
-
Fazer backups de dados importantes para mitigar possíveis impactos caso o aparelho seja comprometido.
Conclusão
O trojan Sturnus representa uma evolução preocupante nas ameaças móveis modernas. Ele não apenas rouba credenciais bancárias, mas também invade a privacidade dos usuários ao interceptar mensagens criptografadas, além de tomar controle completo sobre os dispositivos infectados. Essa combinação de espionagem, fraude e persistência o torna uma ameaça de alto risco para qualquer pessoa que use seu smartphone para comunicação e transações financeiras. A melhor defesa passa por uma postura preventiva: cautela ao instalar aplicativos, uso criterioso de permissões, e adoção de ferramentas de segurança robustas. Sem isso, a proteção dos dados privados — e até do próprio dispositivo — pode estar gravemente comprometida.
Referências bibliográficas
TugaTech. “Sturnus: o novo trojan bancário que rouba mensagens do WhatsApp e assume o controlo do seu Android.” TugaTech, 2025. Disponível em: https://tugatech.com.pt/t74536-sturnus-o-novo-trojan-banc%C3%A1rio-que-rouba-mensagens-do-whatsapp-e-assume-o-controlo-do-seu-android TugaTech
Malaysian Wireless. “Sturnus Android trojan hijacks banking, WhatsApp, Telegram.” 2025. Disponível em: https://www.malaysianwireless.com/2025/11/sturnus-android-trojan-banking-whatsapp-telegram/
