Pesquisadores de segurança identificaram um novo trojan bancário para Android chamado Sturnus. Mesmo em desenvolvimento, o malware já demonstra um conjunto avançado de capacidades e mira instituições financeiras da Europa Central e do Sul, indicando que seus criadores preparam uma operação maior.
A característica mais preocupante do Sturnus é sua habilidade de monitorar conversas em aplicativos que usam criptografia ponta a ponta, como WhatsApp, Telegram e Signal. A criptografia desses serviços permanece intacta; o truque do malware é mais simples e mais perigoso. Em vez de tentar quebrar o algoritmo, ele captura o conteúdo diretamente da tela após o próprio aplicativo legítimo ter descriptografado a mensagem.
Os pesquisadores ainda não esclareceram o método de distribuição do Sturnus, o que torna a navegação segura ainda mais essencial. No Brasil, a ameaça predominante continua sendo o Eternidade Stealer, que opera em uma lógica semelhante.
Como o Sturnus opera
O Sturnus é um trojan bancário completo, com funções que vão além do roubo de credenciais. Assim que se instala no dispositivo, ele solicita permissões de acessibilidade — originalmente criadas para facilitar o uso do Android por pessoas com deficiência. Com essas permissões, o malware tem acesso total ao que aparece na tela e pode registrar toques e textos digitados, criando um nível de vigilância invisível ao usuário.
A comunicação com os servidores de controle também é bem estruturada. O malware inicia uma sessão via HTTP, recebe um identificador único e uma chave RSA. Depois gera uma chave AES de 256 bits localmente e a protege com RSA antes de enviá-la de volta. A partir desse ponto, todo o tráfego entre o malware e o servidor passa a usar AES com vetores de inicialização únicos, dificultando a detecção por ferramentas de segurança. O Sturnus ainda mantém um canal WebSocket para ações de controle remoto mais dinâmicas.
Como o trojan dribla a criptografia de WhatsApp, Telegram e Signal
O ponto crítico é que o Sturnus não intercepta mensagens em trânsito nem tenta romper a criptografia. Ele simplesmente aguarda o usuário abrir o app. No momento em que a conversa aparece na tela, já descriptografada pelo próprio aplicativo, o malware lê toda a árvore de interface — contatos, mensagens recebidas, enviadas e todo o conteúdo exibido.
A interface mostra o cadeado de segurança, mas isso deixa de importar quando o ataque acontece depois da descriptografia. O trojan registra apenas o que já é visível para a vítima.
Controle remoto total e invisível
O Sturnus permite que criminosos operem o dispositivo à distância. Em alguns cenários, ele transmite a tela em tempo real; em outros, usa as permissões de acessibilidade para tirar capturas quando o sistema bloqueia a função padrão. Mas a técnica mais eficiente é o envio de descrições estruturadas da interface em vez de vídeo. Com esse mapa, o atacante pode tocar, digitar, rolar e abrir aplicativos de forma remota, sem acionar notificações de captura de tela.
Outro recurso perigoso é o “black overlay”, uma camada preta que cobre a tela enquanto o criminoso realiza ações no dispositivo. Para o usuário, o celular parece travado. Na prática, transações bancárias podem estar sendo realizadas em segundo plano. O trojan também mantém templates de phishing em HTML que imitam aplicativos de bancos e são exibidos assim que a vítima abre o app verdadeiro.
Persistência reforçada
Remover o Sturnus não é simples. Ele tenta obter privilégios de administrador do dispositivo e impede ativamente que o usuário revogue essas permissões. Caso a vítima tente abrir a tela de administração, o malware identifica a ação pelo monitoramento de acessibilidade e redireciona para longe. Ele também bloqueia tentativas de remoção via ADB.
O trojan monitora continuamente diversos sensores e estados do sistema: conectividade, bateria, mudanças de SIM, instalação de apps, depuração USB, modo desenvolvedor, nível de patch de segurança e outros elementos. Isso permite que o operador adapte a operação em tempo real e evite ambientes de análise.
Com informações de hardware, rede e aplicativos instalados, o Sturnus constrói um perfil detalhado do dispositivo e verifica se está agindo em uma vítima real ou em um ambiente controlado por pesquisadores.
Como se proteger do Sturnus
A defesa contra o Sturnus exige atenção às práticas de segurança no Android:
Baixe aplicativos apenas de fontes oficiais. O trojan depende da instalação manual pela vítima. Evite APKs enviados por mensagens ou e-mail.
Revise permissões de acessibilidade. Verifique frequentemente quais apps têm acesso ativo e desative qualquer um que não reconheça.
Evite conceder privilégios de administrador. Aplicativos legítimos raramente precisam disso.
Mantenha o Android atualizado. Os patches mensais corrigem falhas que podem ser exploradas por malware.
Use soluções de segurança confiáveis. Ferramentas de empresas reconhecidas ajudam a bloquear comportamentos suspeitos.
Prefira autenticação de dois fatores por aplicativo autenticador. Mesmo que o malware capture a tela, esse método reduz riscos de abuso.
Fique atento a sinais incomuns: aquecimento sem motivo, apps abrindo sozinhos, tela preta repentina, lentidão ou consumo anormal de bateria podem indicar infecção.
Se houver suspeita de comprometimento, faça backup dos arquivos importantes em um computador, restaure o dispositivo para as configurações de fábrica e reinstale apenas apps oficiais. Em seguida, altere senhas de contas críticas usando um dispositivo seguro.
Esse tipo de ameaça mostra como os trojans modernos evoluíram para contornar mecanismos tradicionais de defesa. O ambiente móvel segue sendo um dos alvos prioritários do cibercrime, e a vigilância constante é essencial para evitar danos.
