Netcrook Logo
👤 AUDITWOLF
🗓️ 21 Nov 2025   🌍 Europe

Derrière le masque : Sturnus, le cheval de Troie qui dévoile la vie privée des utilisateurs de smartphones en Europe

Un nouveau cheval de Troie bancaire, Sturnus, contourne la messagerie chiffrée et prend le contrôle des appareils Android, faisant monter les enjeux pour la confidentialité et la sécurité bancaire numérique en Europe.

En bref : Sturnus Trojan

  • Sturnus intercepte les messages de WhatsApp, Telegram et Signal après leur déchiffrement sur les appareils infectés.
  • Obtient un contrôle total de l’appareil via un accès à distance, simulant des tapotements et des frappes au clavier.
  • Déguisé en applications Android légitimes, il exploite les fonctionnalités d’accessibilité à des fins de surveillance.
  • Cible les applications et comptes bancaires, principalement en Europe du Sud et Centrale.
  • Utilise un mélange de canaux chiffrés pour communiquer avec ses serveurs de commande.

Le pickpocket numérique : comment fonctionne Sturnus

Imaginez envoyer un message que vous pensez être en sécurité dans un coffre-fort numérique, pour découvrir qu’un voleur le lit par-dessus votre épaule. C’est la réalité glaçante que Sturnus impose à des milliers d’utilisateurs Android sans méfiance. Découvert par la société de sécurité ThreatFabric fin 2025, Sturnus est un cheval de Troie bancaire - un type de malware conçu pour voler des données financières - mais ses méthodes marquent une évolution dangereuse.

Contrairement aux malwares classiques qui tentent d’intercepter les messages en transit, Sturnus attend patiemment que vos messages chiffrés soient déverrouillés et affichés sur votre téléphone. En abusant des services d’accessibilité d’Android - un système destiné à aider les personnes en situation de handicap - Sturnus obtient une place au premier rang pour tout ce qui s’affiche à l’écran, des conversations privées aux détails bancaires. Cela permet aux attaquants de contourner même le chiffrement de bout en bout le plus robuste, simplement en lisant les messages déchiffrés à l’affichage.

Tactiques d’infection et contrôle dans l’ombre

Sturnus ne s’introduit pas par la grande porte ; il se faufile déguisé en applications de confiance comme Google Chrome ou l’obscur Preemix Box. La méthode d’infection exacte reste à l’étude, mais les experts en sécurité soupçonnent des publicités piégées et des messages privés trompeurs. Une fois installé, Sturnus réclame les droits d’administrateur sur l’appareil, ce qui le rend particulièrement difficile à supprimer.

Après l’infection, le cheval de Troie se connecte à ses centres de commande distants via plusieurs couches de chiffrement (RSA, AES et HTTPS), établissant deux canaux de communication distincts : l’un pour envoyer les données volées et recevoir des instructions, l’autre pour le contrôle à distance en direct via la technologie VNC. Cela permet aux cybercriminels non seulement de surveiller, mais aussi de manipuler activement le téléphone de la victime - transférer de l’argent, valider des transactions, ou même installer d’autres malwares - tout en masquant leurs actions derrière un écran noir superposé.

Une nouvelle génération de menace : la cible européenne

Jusqu’à présent, Sturnus concentre ses attaques sur les banques et applications financières d’Europe du Sud et Centrale, utilisant des superpositions spécifiques à chaque région pour tromper les utilisateurs. Cette approche localisée suggère que les opérateurs du malware testent soigneusement leurs outils avant une éventuelle offensive plus large. C’est une tactique qui rappelle celle d’anciens chevaux de Troie bancaires comme Anubis et Cerberus, qui exploitaient eux aussi les services d’accessibilité et les superpositions avec des effets dévastateurs. Cependant, la capacité de Sturnus à briser l’illusion de confidentialité dans les applications de messagerie chiffrée le distingue nettement.

Alors que la banque numérique et la messagerie chiffrée deviennent la norme, Sturnus lance un avertissement sans détour : la sécurité n’est jamais plus forte que son maillon le plus faible - l’appareil lui-même. Même le meilleur chiffrement peut être réduit à néant si un malware a carte blanche sur votre téléphone.

L’essor de Sturnus rappelle à quel point la confiance numérique est fragile. À mesure que les cybercriminels gagnent en audace et en sophistication, les utilisateurs doivent rester vigilants - remettre en question les liens suspects, limiter les permissions des applications et maintenir leurs appareils à jour. Dans un monde où la vie privée peut être violée non pas en forçant la serrure, mais en jetant un œil après que vous avez ouvert la porte, la prochaine frontière de la sécurité ne se limite plus au chiffrement - elle consiste à défendre l’appareil lui-même.

WIKICROOK

  • Cheval de Troie bancaire : Un cheval de Troie bancaire est un malware qui cible les données financières en volant des identifiants bancaires et des informations personnelles, souvent en imitant des applications de confiance.
  • Services d’accessibilité : Les services d’accessibilité sont des fonctionnalités Android destinées à aider les personnes en situation de handicap, mais peuvent être détournées par des malwares pour contrôler les appareils ou voler des données.
  • Chiffrement de bout en bout : Le chiffrement de bout en bout est une méthode de sécurité où seuls l’expéditeur et le destinataire peuvent lire les messages, gardant les données privées même vis-à-vis des fournisseurs de service et des pirates.
  • Serveur de commande et contrôle (C2) : Un serveur de commande et contrôle (C2) gère à distance les appareils infectés par des malwares, envoyant des instructions et recevant les données volées des systèmes compromis.
  • VNC (Virtual Network Computing) : VNC (Virtual Network Computing) permet à un utilisateur de visualiser et de contrôler à distance l’écran d’un autre ordinateur en temps réel via un réseau ou Internet.
Sturnus Trojan digital banking privacy threat
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news