Sturnus: novi Android bankarski trojanac koji snima šifrovane WhatsApp, Telegram i Signal chatove

Mobilni telefoni, 21.11.2025, 12:00 PM

Istraživači iz ThreatFabric-a otkrili su novog bankarskog trojanca za Android nazvanog Sturnus, koji je dizajniran za krađu kredencijala, nadzor komunikacija i potpuno preuzimanje uređaja radi finansijskih prevara.

Prema ThreatFabric-u, ključna razlika u odnosu na druge mobilne trojance je sposobnost da zaobiđe šifrovane poruke. Umesto da presreće saobraćaj, Sturnus jednostavno snima sadržaj ekrana nakon dešifrovanja, što mu omogućava da prati komunikaciju preko WhatsApp-a, Telegrama, pa čak i Signala.

Malver takođe koristi overlay napade - prikazuje lažne ekrane za prijavu koji se pojavljuju preko legitimnih aplikacija banaka i tako krade korisnička imena i lozinke. Procena istraživača je da je malver u ranoj fazi razvoja, i da se za sada ne prodaje.

Sturnus se distribuira preko aplikacija Google Chrome (com.klivkfbky.izaybebnx) i Preemix Box (com.uvxuthoq.noscjahae), a mete su banke u Južnoj i Centralnoj Evropi, sa overlay ekranima prilagođenim određenim regionima.

Naziv Sturnus inspirisan je čvorkom (Sturnus vulgaris), pticom pevačicom poznatom po mešanju različitih zvukova, što odgovara mešanom komunikacionom obrascu malvera (plaintext + AES + RSA).

Nakon pokretanja, trojanac se povezuje sa komandno-kontrolnim serverom putem WebSocket i HTTP kanala, registruje uređaj i prima šifrovane instrukcije. Istovremeno otvara WebSocket kanal za interakciju napadača tokom VNC sesija, što praktično omogućava daljinsku kontrolu telefona u realnom vremenu.

Sturnus zloupotrebljava Android Accessibility Services da presreće pritiskanje tastera, vidi svaki element na ekranu, rekonstruiše izgled aplikacija sa uređaja žrtve, izvršava klikove, unos teksta, skrolovanje, pokretanje aplikacija, potvrde dozvola, sakrije ekran crnom pozadinom, i imitira ekran za ažuriranje operativnog sistema Androida kako bi korisniku ostavio utisak da je ažuriranja softvera u toku, dok u pozadini omogućava izvršavanje zlonamernih radnji.

Kada žrtva otvori Signal, Telegram ili WhatsApp, Sturnus automatski prikuplja sadržaj razgovora. Ako žrtva pokuša da uđe u podešavanja i ukloni administratorska prava, malver to detektuje i automatski „beži“ sa ekrana da spreči deinstalaciju. Pritom blokira klasičnu deinstalaciju i ADB uklanjanje sve dok administratorska prava ne budu ručno oduzeta.

Uz to nadgleda okolinu uređaja - senzore, mrežne uslove, hardverske karakteristike, listu instaliranih aplikacija, i prilagođava ponašanje kako bi izbegao detekciju.

ThreatFabric upozorava da iako je širenje malvera u ovoj fazi ograničeno, kombinacija preciznog geografskog targetiranja i fokusa na aplikacije velike vrednosti ukazuje da se napadači pripremaju za širu kampanju.