Netcrook Logo
👤 AUDITWOLF
🗓️ 21 Nov 2025   🌍 Europe

Dietro la Maschera: Sturnus Trojan Svela la Vita Privata degli Utenti di Smartphone Europei

Un nuovo trojan bancario, Sturnus, aggira la messaggistica criptata e prende il controllo dei dispositivi Android, alzando la posta in gioco per la privacy e la sicurezza bancaria digitale in Europa.

Fatti Rapidi: Sturnus Trojan

  • Sturnus intercetta i messaggi di WhatsApp, Telegram e Signal dopo la decrittazione sui dispositivi infetti.
  • Ottiene il pieno controllo del dispositivo tramite accesso remoto, simulando tocchi e digitazioni.
  • Si camuffa da app Android legittime, sfruttando le funzionalità di accessibilità per la sorveglianza.
  • Prende di mira app e conti bancari, principalmente nell’Europa meridionale e centrale.
  • Utilizza una combinazione di canali criptati per comunicare con i suoi server di comando.

Il Borseggiatore Digitale: Come Opera Sturnus

Immagina di inviare un messaggio che credi sia al sicuro in una cassaforte digitale, solo per scoprire che un ladro lo sta leggendo alle tue spalle. Questa è la realtà inquietante che Sturnus porta a migliaia di ignari utenti Android. Scoperto dall’azienda di sicurezza ThreatFabric alla fine del 2025, Sturnus è un trojan bancario - un tipo di malware progettato per rubare dati finanziari - ma i suoi metodi segnano un’evoluzione pericolosa.

A differenza dei malware classici che tentano di intercettare i messaggi in transito, Sturnus aspetta pazientemente che i tuoi messaggi criptati vengano sbloccati e visualizzati sul telefono. Sfruttando i servizi di accessibilità di Android - un sistema pensato per aiutare gli utenti con disabilità - Sturnus ottiene un posto in prima fila su tutto ciò che appare sullo schermo, dalle chat private ai dettagli bancari. Questo permette agli aggressori di aggirare anche la più forte crittografia end-to-end, semplicemente leggendo i messaggi decrittati mentre vengono mostrati.

Tattiche di Infezione e Controllo nell’Ombra

Sturnus non irrompe dalla porta principale; si insinua camuffato da app affidabili come Google Chrome o la poco nota Preemix Box. Il metodo esatto di infezione è ancora oggetto di indagine, ma gli esperti di sicurezza sospettano che la causa siano annunci pubblicitari infetti e messaggi privati ingannevoli. Una volta installato, Sturnus richiede i diritti di amministratore sul dispositivo, rendendosi ostinatamente difficile da rimuovere.

Dopo l’infezione, il trojan si connette ai suoi centri di comando remoti utilizzando diversi livelli di crittografia (RSA, AES e HTTPS), stabilendo due canali di comunicazione separati: uno per inviare dati rubati e ricevere comandi, e un altro per il controllo remoto in tempo reale tramite tecnologia VNC. Questo consente ai cybercriminali non solo di monitorare, ma anche di manipolare attivamente il telefono della vittima - trasferendo denaro, approvando transazioni o persino installando altro malware - il tutto nascondendo le proprie azioni dietro una schermata nera sovrapposta.

Una Nuova Razza di Minaccia: Il Focus Europeo

Finora Sturnus ha concentrato i suoi attacchi su banche e app finanziarie dell’Europa meridionale e centrale, utilizzando sovrapposizioni specifiche per regione per ingannare gli utenti. Questo approccio localizzato suggerisce che gli operatori del malware stiano testando attentamente i loro strumenti prima di un possibile attacco su più larga scala. È una tattica che ricorda i precedenti trojan bancari come Anubis e Cerberus, che hanno anch’essi sfruttato servizi di accessibilità e sovrapposizioni con effetti devastanti. Tuttavia, la capacità di Sturnus di infrangere l’illusione di privacy nelle app di messaggistica criptata lo distingue dagli altri.

Con la diffusione della banca digitale e della messaggistica criptata, Sturnus rappresenta un avvertimento chiaro: la sicurezza è forte solo quanto il suo anello più debole - il dispositivo stesso. Anche la migliore crittografia può essere vanificata se il malware ha campo libero sul tuo telefono.

L’ascesa di Sturnus ricorda che la fiducia digitale è fragile. Mentre i cybercriminali diventano sempre più audaci e sofisticati, gli utenti devono restare vigili - diffidando dei link sospetti, limitando i permessi delle app e mantenendo i dispositivi aggiornati. In un mondo in cui la privacy può essere violata non forzando la serratura, ma sbirciando dopo che hai aperto la porta, la prossima frontiera della sicurezza non è solo la crittografia - è la difesa del dispositivo stesso.

WIKICROOK

  • Trojan Bancario: Un trojan bancario è un malware che prende di mira i dati finanziari rubando credenziali bancarie e informazioni personali, spesso imitando app affidabili.
  • Servizi di Accessibilità: I servizi di accessibilità sono funzionalità Android pensate per aiutare gli utenti con disabilità, ma possono essere sfruttate dai malware per controllare i dispositivi o rubare dati.
  • Crittografia End-to-End: La crittografia end-to-end è un metodo di sicurezza in cui solo mittente e destinatario possono leggere i messaggi, mantenendo i dati privati anche da fornitori di servizi e hacker.
  • Server di Comando e Controllo (C2): Un server di comando e controllo (C2) gestisce da remoto i dispositivi infetti da malware, inviando istruzioni e ricevendo dati rubati dai sistemi compromessi.
  • VNC (Virtual Network Computing): VNC (Virtual Network Computing) permette di visualizzare e controllare in tempo reale lo schermo di un altro computer da remoto tramite rete o internet.
Sturnus Trojan digital banking privacy threat
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news