Source: ThreatFabric — ThreatFabric publie une analyse d’un nouveau malware bancaire Android privé nommé « Sturnus », actuellement en phase d’évaluation limitée mais déjà pleinement fonctionnel et ciblant des banques d’Europe du Sud et d’Europe centrale.

• Profil de la menace. Sturnus est un trojan bancaire Android doté de prise de contrôle complète de l’appareil (VNC/hVNC), de vol de justificatifs via overlays HTML et d’une surveillance poussée des messageries chiffrées (WhatsApp, Telegram, Signal). Son différenciateur clé: il contourne le chiffrement E2E en capturant ce qui est affiché après déchiffrement (écran et arbre UI), offrant aux opérateurs une visibilité en temps réel des conversations. 🎯📱

• Capacités de vol et fraude. Le malware déploie des overlays stockés localement pour mimer des applis bancaires et exfiltrer les données via une WebView/JS bridge. Il maintient un keylogging basé sur le Service d’Accessibilité (événements TYPE_VIEW_TEXT_CHANGED, FOCUSED, CLICKED, WINDOW_CONTENT_CHANGED), enregistre l’arbre UI et peut afficher un écran noir pour masquer des transactions en arrière-plan. Il sait voler PIN/mots de passe pour déverrouiller l’appareil. 🔐

• Contrôle à distance. Sturnus propose des sessions VNC avec capture d’écran système ou capture de secours via Accessibilité, et un canal de contrôle par arbre UI très économe en bande passante permettant clics, saisie, scroll, confirmations de permissions, sans indicateur de capture. Liste d’actions étendue (ex.: enableBlackScreen/disableBlackScreen, nodesInfo, textSender, clickNode, etc.). 🕹️

• C2 et protocole. Les opérateurs utilisent HTTP + WebSocket (WSS) avec un mélange plaintext/RSA/AES: enregistrement initial via HTTP, serveur renvoyant un UUID + clé publique RSA, échange d’une clé AES-256 chiffrée RSA (OAEP/SHA-1/MGF1), puis trafic AES-256-CBC/PKCS5 avec IV aléatoire par message dans un protocole binaire custom. Le WebSocket sert aussi aux sessions VNC. 🧩

• Persistance et évasion. Le malware abuse des droits d’administrateur d’appareil pour résister à la suppression, détourne les tentatives de révocation via Accessibilité, et bloque la désinstallation/ADB tant que les droits ne sont pas retirés. Il opère une télémétrie environnementale large (connectivité, batterie, SIM, installations d’apps, USB, rooting/forensic, dev mode, ADB, SELinux, patch level, capteurs), et ajuste ses tactiques en conséquence. L’article conclut sur une menace sophistiquée combinant overlay, keylogging, capture/streaming, contrôle distant, abus d’admin et monitoring, visant la fraude financière et la vie privée. Type d’article: analyse technique/menace visant à documenter une nouvelle famille de trojan. 🧪

IoCs

  • SHA-256: 045a15df1121ec2a6387ba15ae72f8e658c52af852405890d989623cf7f6b0e5 — Package: com.klivkfbky.izaybebn
  • SHA-256: 0cf970d2ee94c44408ab6cbcaabfee468ac202346b9980f240c2feb9f6eb246d — Package: com.uvxuthoq.noscjaha

TTPs (extraits)

  • Overlays HTML ciblant des applis bancaires (phishing d’identifiants)
  • Abus du Service d’Accessibilité: keylogging, collecte d’arbre UI, automatisation d’actions
  • Capture d’écran/streaming + VNC/hVNC; écran noir pour masquer l’activité
  • Contournement de la sécurité des messageries chiffrées via capture post-décryptage
  • C2 HTTP/WSS avec RSA OAEP pour l’échange de clé et AES-256-CBC pour le trafic
  • Persistance via Device Administrator, anti-désinstallation, anti-révocation
  • Monitoring étendu de l’environnement (réseaux, capteurs, sécurité, apps)
  • Gestion SMS/appels/contacts et commandes variées (APP_HIDE/UNHIDE, INSTALL/UNINSTALL, SEND_SMS, START_HVNC, PIN_SOLVER, etc.)

🧠 TTPs et IOCs détectés

TTP

[‘Overlays HTML ciblant des applis bancaires (phishing d’identifiants)’, ‘Abus du Service d’Accessibilité: keylogging, collecte d’arbre UI, automatisation d’actions’, ‘Capture d’écran/streaming + VNC/hVNC; écran noir pour masquer l’activité’, ‘Contournement de la sécurité des messageries chiffrées via capture post-décryptage’, ‘C2 HTTP/WSS avec RSA OAEP pour l’échange de clé et AES-256-CBC pour le trafic’, ‘Persistance via Device Administrator, anti-désinstallation, anti-révocation’, ‘Monitoring étendu de l’environnement (réseaux, capteurs, sécurité, apps)’, ‘Gestion SMS/appels/contacts et commandes variées (APP_HIDE/UNHIDE, INSTALL/UNINSTALL, SEND_SMS, START_HVNC, PIN_SOLVER, etc.)’]

IOC

[‘SHA-256: 045a15df1121ec2a6387ba15ae72f8e658c52af852405890d989623cf7f6b0e5 — Package: com.klivkfbky.izaybebn’, ‘SHA-256: 0cf970d2ee94c44408ab6cbcaabfee468ac202346b9980f240c2feb9f6eb246d — Package: com.uvxuthoq.noscjaha’]

🔗 Source originale : https://www.threatfabric.com/blogs/sturnus-banking-trojan-bypassing-whatsapp-telegram-and-signal