{"id":23542,"date":"2025-11-23T08:00:00","date_gmt":"2025-11-23T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23542"},"modified":"2025-11-21T21:18:45","modified_gmt":"2025-11-22T00:18:45","slug":"sturnus-trojan-android-ameaca-a-privacidade","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/11\/exploits\/sturnus-trojan-android-ameaca-a-privacidade\/","title":{"rendered":"Sturnus, trojan Android amea\u00e7a a privacidade"},"content":{"rendered":"\n

Sturnus: o trojan Android que amea\u00e7a a privacidade de mensagens criptografadas<\/strong><\/p>\n

Pesquisadores de seguran\u00e7a identificaram um novo trojan banc\u00e1rio para Android chamado Sturnus<\/strong>, que representa uma s\u00e9ria amea\u00e7a por sua capacidade avan\u00e7ada de espionagem e controle remoto. Segundo as an\u00e1lises, esse malware pode interceptar mensagens de aplicativos com criptografia de ponta a ponta \u2014 como WhatsApp<\/strong>, Signal<\/strong> e Telegram<\/strong> \u2014 aproveitando-se dos servi\u00e7os de Acessibilidade do sistema Android.<\/p>\n

\u00a0<\/p>\n

Como o Sturnus opera<\/strong><\/p>\n

Diferentemente de malwares que tentam quebrar a criptografia diretamente, o Sturnus adota uma abordagem mais sofisticada: ele l\u00ea o conte\u00fado da tela do dispositivo ap\u00f3s a aplica\u00e7\u00e3o descriptografar a mensagem, capturando o texto em tempo real. Essa t\u00e9cnica permite que ele \u201cveja\u201d as conversas privadas sem precisar interferir no protocolo de seguran\u00e7a dos aplicativos de mensagens.<\/p>\n

Al\u00e9m disso, o trojan \u00e9 capaz de assumir controle remoto do aparelho por meio de sess\u00f5es VNC (Virtual Network Computing), permitindo aos invasores monitorar a atividade do usu\u00e1rio, navegar por menus, injetar comandos, e at\u00e9 ocultar suas opera\u00e7\u00f5es exibindo telas falsas, como uma \u201catualiza\u00e7\u00e3o de sistema\u201d ou bloqueio total.<\/p>\n

\u00a0<\/p>\n

Roubo de credenciais banc\u00e1rias<\/strong><\/p>\n

Outro ponto preocupante \u00e9 a funcionalidade financeira do Sturnus. Ele utiliza overlays em HTML<\/strong>, que simulam telas de login de bancos leg\u00edtimos. Quando a v\u00edtima abre um aplicativo banc\u00e1rio real, o trojan intercepta essa abertura e exibe uma interface falsa que solicita credenciais \u2014 e, ao inserir os dados, o usu\u00e1rio entrega diretamente suas informa\u00e7\u00f5es para os criminosos.<\/p>\n

Para consolidar seu poder de persist\u00eancia, o Sturnus solicita permiss\u00f5es elevadas em Android, incluindo administrador de dispositivo, dificultando sua remo\u00e7\u00e3o por usu\u00e1rios comuns.<\/p>\n

\u00a0<\/p>\n

Arquitetura de comunica\u00e7\u00e3o e exfiltra\u00e7\u00e3o<\/strong><\/p>\n

De acordo com pesquisadores da ThreatFabric, o trojan mant\u00e9m uma arquitetura de comunica\u00e7\u00e3o robusta e segura com seus servidores de comando (C2). Ele combina criptografia RSA e AES para proteger os dados trafegados e usa WebSocket para opera\u00e7\u00f5es em tempo real, como o controle remoto via VNC.<\/p>\n

Al\u00e9m disso, h\u00e1 uma fase de registro durante a instala\u00e7\u00e3o: o malware se conecta a um servidor C2 para receber um identificador \u00fanico e sua chave p\u00fablica RSA, que ser\u00e1 usada para criptografar a chave AES gerada localmente.<\/p>\n

\u00a0<\/p>\n

M\u00e9todos de distribui\u00e7\u00e3o<\/strong><\/p>\n

Ainda n\u00e3o est\u00e1 completamente definido como o Sturnus \u00e9 distribu\u00eddo em larga escala, mas as amostras observadas sugerem que ele se disfar\u00e7a como aplicativos leg\u00edtimos muito comuns, como uma vers\u00e3o falsa do Google Chrome<\/strong>, ou mesmo apps gen\u00e9ricos com nomes plaus\u00edveis. Esse tipo de isca facilita que usu\u00e1rios desavisados baixem o APK malicioso sem perceber a amea\u00e7a.<\/p>\n

\u00a0<\/p>\n

Riscos e implica\u00e7\u00f5es para os usu\u00e1rios<\/strong><\/p>\n