A Sturnus névre keresztelt banki trójai Android rendszereken a WhatsApp, a Telegram és a Signal biztonságos üzenetküldő alkalmazások kommunikációjának kompromittálására készült.
A mobilbiztonsággal és csalásfelderítéssel foglalkozó ThreatFabric elemzése szerint a Sturnus teljes funkcionalitással rendelkezik, azonban még fejlesztés alatt álló kártevőnek tekinthető. Bár jelenleg nem terjed széles körben, a vizsgálatok alapján elsősorban közép- és dél-európai pénzintézetek ügyfeleit veszi célba.
A fertőzést követően a malware overlay támadásokat végrehajtására képes: hamis banki bejelentkezési felületeket jelenít meg, amelyekkel hitelesítő adatok megszerzésére próbálja rávenni a felhasználókat. Emellett billentyűleütés-naplózást valósít meg, és távoli hozzáférést biztosít a támadók számára a kompromittált eszközhöz.
A Sturnus célja, hogy rendszergazdai jogosultságokat szerezzen az Android készüléken, továbbá folyamatosan monitorozza a felhasználó tevékenységét annak érdekében, hogy felismerje az eltávolítására irányuló kísérleteket. A ThreatFabric kutatói kiemelik, hogy a kártevő nyomon követi, hogy mely alkalmazások vannak használatban, és a rosszindulatú funkciókat akkor aktiválja, amikor a felhasználó a Telegramot, a WhatsAppot vagy a Signalt indítja el.
Annak ellenére, hogy ezek az üzenetküldő platformok végpontok közötti titkosítást alkalmaznak, nem biztosítanak védelmet abban az esetben, ha az eszköz teljes mértékben kompromittálódott. A kutatók rámutatnak, hogy mivel a Sturnus nem hálózati forgalmat figyel, hanem az Android Accessibility Service szolgáltatásán keresztül monitorozza a felhasználói felületet, képes minden, a képernyőn megjelenő információt rögzíteni. Ez magában foglalja a névjegyeket, a teljes beszélgetési előzményeket, valamint a bejövő és kimenő üzenetek tartalmát is, valós időben.
Ez a működés különösen kockázatossá teszi a kártevőt: gyakorlatilag megkerüli a végpontok közötti titkosítást azzal, hogy az üzenetekhez azok visszafejtése után fér hozzá, így a támadók számára közvetlen betekintést biztosít olyan kommunikációba is, amelyet a felhasználók privátnak vagy biztonságosnak gondolnak.