Sturnus — nowy trojan bankowy na Androida przechwytuje wiadomości z WhatsAppa, Telegrama i Signal

Wprowadzenie do problemu / definicja luki

Badacze ThreatFabric opisali nową, prywatnie rozwijaną rodzinę Sturnus — trojana bankowego na Androida, który potrafi obchodzić E2EE komunikatorów (WhatsApp, Telegram, Signal), przechwytując treści po odszyfrowaniu na ekranie. Malware łączy klasyczne techniki bankerów (overlaye HTML, keylogging przez Accessibility) z pełnym przejęciem urządzenia (VNC/hVNC) i aktywną obroną przed usunięciem. Wstępna telemetria wskazuje na celowanie w użytkowników instytucji finansowych w Europie Środkowej i Południowej.

W skrócie

• Co robi: wykrada dane logowania do bankowości, podsłuchuje czaty po stronie urządzenia, zdalnie steruje telefonem, ukrywa aktywność “czarną nakładką”.
• Status kampanii: funkcjonalny, ale w fazie rozwoju/testów; na razie niska skala, celowanie regionalne (EU S/CE).
• Wejście do systemu: dystrybuowany jako fałszywe APK, m.in. podszywające się pod Google Chrome i “Preemix Box”; wektory prawdopodobne: malvertising/DM.
• Dlaczego E2EE nie pomaga: Sturnus nie łamie kryptografii — czyta ekran/UI po odszyfrowaniu z użyciem Accessibility i zrzutów ekranu/struktury widoków.

Kontekst / historia / powiązania

Sturnus wpisuje się w trend wzrostu możliwości bankerów na Androida (Herodotus, Crocodilus), którzy łączą Device Takeover z precyzyjnymi overlayami i anti-removal. Media branżowe (SecurityWeek, The Record, BleepingComputer, The Hacker News) potwierdzają wczesną, ale zaawansowaną naturę zagrożenia oraz nacisk na Europę.

Analiza techniczna / szczegóły luki

Łańcuch komunikacji i C2

• Dwukanałowa łączność: HTTP(S) + WebSocket (WSS); rejestracja klienta, wymiana kluczy RSA→AES, a następnie ruch AES/CBC (IV per wiadomość). WebSocket służy m.in. do sesji VNC.

Pozyskiwanie danych

• Overlaye HTML (repozytorium szablonów w przestrzeni aplikacji) na popularne aplikacje bankowe; JavaScript bridge do natychmiastowej eksfiltracji. Po zebraniu danych overlay dla danej aplikacji bywa wyłączany, by ograniczyć podejrzenia.
• Keylogging i obserwacja UI przez Accessibility Service (zdarzenia TYPE_VIEW_*, rekonstrukcja drzewa UI), co pozwala odczytywać tekst oraz kontekst ekranów nawet gdy FLAG_SECURE blokuje standardowy screen capture.

Obchodzenie E2EE komunikatorów

• Monitorowanie aplikacji pierwszoplanowej i automatyczne włączenie kolekcji UI-tree przy WhatsApp/Telegram/Signal. Dane są widoczne “po stronie ekranu” — po odszyfrowaniu przez legalną aplikację. To nie łamie kryptografii, ale obchodzi jej model zagrożeń poprzez pełne przejęcie hosta.

Zdalne sterowanie (VNC / hVNC)

• Dwie ścieżki: strumień obrazu (systemowe przechwytywanie ekranu lub fallback przez Accessibility) oraz sterowanie po drzewie UI (kliki, wprowadzanie tekstu, przewijanie, uruchamianie aplikacji, potwierdzania dialogów). Dostępny czarny overlay ukrywający działania operatora.

Utrzymanie i anty-usuwanie

• Nadużycie Android Device Administrator; wykrywanie prób odebrania uprawnień i automatyczne wycofywanie użytkownika z ekranu ustawień. Do czasu ręcznego cofnięcia uprawnień odinstalowanie (nawet ADB) jest utrudnione. Rozbudowane monitorowanie środowiska (broadcast receivery, stan baterii/SIM/ADB/SELinux/patch level).

Wejście: fałszywe APK

• Udokumentowane nazwy pakietów dystrybucyjnych to m.in.:
  • com.klivkfbky.izaybebnx (podszywa się pod Google Chrome)
  • com.uvxuthoq.noscjahae (Preemix Box)
    Dystrybucja prawdopodobnie przez malvertising lub bezpośrednie wiadomości z linkami do APK.

Praktyczne konsekwencje / ryzyko

• Ryzyko dla bankowości mobilnej: przejęcie sesji, autoryzacji i potwierdzeń (MFA) w czasie rzeczywistym; możliwość wykonania przelewów podczas “czarnej nakładki”.
• Ryzyko dla prywatności i zgodności: masowy exfil treści rozmów z E2EE, kontaktów i metadanych; potencjalne naruszenia RODO, tajemnicy bankowej i poufności klientów.
• Ryzyko dla zespołów SOC/CSIRT: tradycyjne wskaźniki sieciowe mogą być skąpe (custom protokół, AES/WSS); konieczność telemetrii na poziomie urządzenia i korelacji zdarzeń Accessibility/overlay.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i zespołów IT

1. Blokada sideloadingu (MDM/Intune/Endpoint Management): wyłącz nieznane źródła instalacji APK; wymuś Google Play Protect.
2. Polityki uprawnień: audytuj i ogranicz uprawnienia Accessibility (zezwalaj tylko aplikacjom biznesowo uzasadnionym; alerty na nowe zgody).
3. EDR/Mobile Threat Defense (MTD): wybieraj rozwiązania wykrywające:
   • stałe połączenia WSS do nietypowych domen;
   • intensywne zdarzenia Accessibility i enumerację UI;
   • tworzenie overlayów i długotrwałe “foreground services”.
4. Higiena MFA: preferuj out-of-band (np. FIDO2/U2F, klucze sprzętowe) zamiast kodów w tej samej przeglądarce/urządzeniu.
5. Twarde usuwanie: jeżeli urządzenie wykazuje symptomy (czarna nakładka, brak możliwości odinstalowania), wejdź do trybu awaryjnego, cofnij Device Admin, następnie odinstaluj; w razie wątpliwości factory reset + odtworzenie zaufanego backupu.
6. Szkolenia anty-phishingowe: kampanie o fałszywych APK (Chrome/“update systemu”/“Preemix Box”) i malvertisingu.

Dla banków/fintechów

• Risk-based authentication i detekcje anomalii mobilnych (np. nienaturalne gesty, wzorce VNC, “czarne overlaye”, zmiany Device Admin).
• App hardening: utrudnianie overlayów, root/jailbreak/emulator detection, “tapjacking protection”, monitorowanie FLAG_SECURE bypass i anomalii Accessibility.
• Fraud analytics: korelacja telemetrii transakcyjnej z sygnałami z urządzenia (nagłe wyciszenie UI, brak interakcji człowieka, przewijanie skryptowe).

Różnice / porównania z innymi przypadkami

• W przeciwieństwie do wielu bankerów, Sturnus mocno inwestuje w pełny podwójny kanał C2 (HTTP+WSS) i sterowanie po drzewie UI, co zmniejsza zależność od samego streamingu ekranu i atrybutów wizualnych.
• Podobnie jak Herodotus/Crocodilus, skupia się na Device Takeover, ale jego monitoring środowiska (SIM/ADB/SELinux/patch level) i rozbudowana obrona Device Admin są ponadprzeciętnie zaawansowane.

Podsumowanie / najważniejsze wnioski

Sturnus nie łamie kryptografii E2EE — omija ją, kompromitując host i odczytując to, co widzi użytkownik. Dla obrony oznacza to przesunięcie nacisku z IoC sieciowych na behawior urządzenia: overlaye, nadużycia Accessibility, uprzywilejowania Device Admin i nietypowe sesje WSS/VNC. Wykrycie na wczesnym etapie i dyscyplina instalacyjna (zakaz sideloadingu) będą kluczowe.

Źródła / bibliografia

1. ThreatFabric — Sturnus: Mobile Banking Malware bypassing WhatsApp, Telegram and Signal Encryption (20 listopada 2025). (ThreatFabric)
2. SecurityWeek — New Sturnus Banking Trojan Targets WhatsApp, Telegram, Signal Messages (20 listopada 2025). (SecurityWeek)
3. The Hacker News — New Sturnus Android Trojan Quietly Captures Encrypted Chats and Hijacks Devices (20 listopada 2025). (The Hacker News)
4. BleepingComputer — Multi-threat Android malware Sturnus steals Signal, WhatsApp messages (20 listopada 2025). (Bleeping Computer)
5. The Record — New Android malware can capture private messages, researchers warn (20 listopada 2025). (The Record from Recorded Future)