Pesquisadores de segurança cibernética descobriram um novo trojan bancário para Android que acende um alerta global. Batizado de Sturnus, o malware ainda está em fase de desenvolvimento, mas já demonstra um nível de sofisticação considerado raro até mesmo entre ameaças avançadas. Seu principal alvo, até agora, são instituições financeiras da Europa Central e do Sul, mas especialistas acreditam que uma campanha de disseminação em larga escala é apenas questão de tempo.
O que torna o Sturnus particularmente perigoso é sua capacidade de monitorar conversas em aplicativos com criptografia ponta a ponta, como WhatsApp, Telegram e Signal. Embora a criptografia desses serviços permaneça intacta, o vírus consegue capturar tudo o que aparece na tela do usuário após a mensagem ser descriptografada, burlando completamente a proteção desses mensageiros.
Como o Sturnus invade o Android
Assim que é instalado, normalmente por meio de aplicativos maliciosos ou arquivos APK externos, o trojan solicita permissões de acessibilidade, que deveriam ser usadas para ajudar pessoas com deficiência. Na prática, é essa permissão que dá ao malware uma visão completa de tudo o que acontece no aparelho.
Com isso habilitado, o vírus passa a enxergar e registrar:
- todo o conteúdo exibido na tela;
- toques e comandos do usuário;
- mensagens recebidas e enviadas;
- histórico de conversas e nomes de contatos.
É como se um criminoso observasse secretamente cada ação do usuário, sem que qualquer aviso fosse exibido no celular.
Criptografia própria para enganar sistemas de segurança
O Sturnus se comunica com seus operadores por meio de um sistema criptográfico duplo. Primeiro, estabelece conexão com o servidor e recebe uma chave RSA. Em seguida, gera uma chave AES de 256 bits no dispositivo e a envia criptografada.
A partir daí, todo o tráfego é protegido por AES, o que dificulta a detecção por antivírus e firewalls. O malware mantém ainda um canal WebSocket específico para sessões de controle remoto, reforçando sua furtividade.
A tática que permite espionar WhatsApp, Telegram e Signal
Quando o usuário abre um aplicativo de mensagens, o vírus detecta a ação imediatamente. Ele passa, então, a ler a árvore de interface do usuário, estrutura que descreve cada elemento visível na tela. Com isso, consegue extrair:
- conversas completas;
- textos digitados pelo usuário;
- mensagens recebidas;
- dados de contato.
Tudo isso acontece depois da descriptografia feita pelo próprio aplicativo, o que torna inútil o cadeado de “conexão segura” exibido na tela.
Controle total do celular, e o truque da tela preta
Além da espionagem, o Sturnus permite que os criminosos controlem completamente o aparelho infectado. Entre as funções estão:
• Black Overlay (Tela Preta)
O celular mostra uma tela completamente escura, como se estivesse desligado. Enquanto isso, o malware realiza ações em segundo plano, como transferências bancárias e mudanças de segurança.
• Phishing avançado
O vírus carrega modelos de aplicativos bancários falsos. Ao abrir o app do banco, o usuário vê uma tela idêntica à original, mas controlada pelo malware, que captura senhas e dados financeiros.
• Controle remoto invisível
Os criminosos conseguem clicar, rolar tela, digitar e abrir apps sem gerar alertas de captura de tela — tudo usando descrições estruturadas de interface em vez de vídeos.
Como se proteger
Especialistas apontam que a defesa começa pelo básico:
1. Instale apps apenas da Google Play Store
Arquivos APK enviados por links, grupos, e-mails ou sites alternativos são o principal vetor de infecção.
2. Cuidado extremo com permissões de acessibilidade
Se um aplicativo que não deveria solicitar esse acesso pedir a permissão, recuse imediatamente.
3. Atualizações regulares
Manter o celular e aplicativos atualizados reduz brechas exploráveis.
4. Atenção a sinais de infecção
- superaquecimento;
- bateria drenando rápido;
- lentidão repentina;
- black screen inesperada;
- apps abrindo sozinhos.
