A presença do Malware Android Sturnus expõe uma realidade desconfortável, pois a criptografia de ponta a ponta, apesar de extremamente segura contra interceptações externas, não impede que um malware com acesso à tela leia tudo o que aparece no dispositivo. A falsa sensação de proteção total, alimentada por mensageiros como WhatsApp e Signal, abre espaço para ameaças que exploram falhas humanas e permissões do sistema. O Sturnus se destaca justamente por atuar após a descriptografia, capturando mensagens já exibidas para o usuário.
Esse artigo tem como objetivo explicar de forma clara como o trojan bancário Sturnus funciona, como ele rouba mensagens, como obtém controle remoto via VNC, por que representa risco elevado para usuários de Android e quais medidas são essenciais para se proteger. Trata-se de uma ameaça avançada, capaz de combinar espionagem, fraude financeira e persistência profunda no sistema.
Considerado uma das ameaças móveis mais sofisticadas do ano, o Sturnus mira especialmente instituições financeiras e dados sensíveis de usuários. Sua capacidade de driblar mecanismos de segurança tradicionais torna urgente a compreensão de suas técnicas e a adoção de medidas de prevenção.
O que é o Sturnus e como ele se disfarça
O Sturnus é um malware para Android distribuído principalmente por meio de APKs falsos, apresentados como versões do Google Chrome ou como o aplicativo Preemix Box, ambos utilizados como isca para induzir a instalação manual. Ao ser aberto pela primeira vez, o aplicativo malicioso se comunica com seu servidor de comando e controle (C2), registrando o dispositivo comprometido e enviando informações básicas do sistema.
Esse método de distribuição permite que o Sturnus bypass mecanismos essenciais de verificação da Play Store, aproveitando campanhas de phishing, sites falsos e instaladores enviados por mensagens. Uma vez instalado, ele inicia sua cadeia de requisitos de permissões, sempre camufladas como solicitações aparentemente legítimas.
O golpe mestre: contornando a criptografia de ponta a ponta
A principal técnica usada pelo malware Sturnus Android está na exploração avançada do Serviço de Acessibilidade, uma função criada originalmente para ajudar pessoas com necessidades especiais, mas que, nas mãos de criminosos, se torna uma porta de entrada crítica.
O Sturnus ativa um módulo capaz de ler tudo o que aparece na tela do usuário, incluindo mensagens do WhatsApp, Signal e Telegram. Ele não tenta quebrar a criptografia, tampouco intercepta o tráfego. Em vez disso, aguarda que as mensagens sejam descriptografadas localmente pelo aplicativo e as captura diretamente do display. Isso inclui textos, códigos de autenticação, conversas privadas e notificações sensíveis.
A diferença entre interceptação de rede e leitura de tela
Um ataque de interceptação de rede tradicional seria inútil contra mensageiros criptografados. Mas o Sturnus trabalha de forma muito mais simples e perigosa, porque atua exatamente no ponto em que a criptografia não existe mais, ou seja, quando a mensagem já está visível no celular.
Ele utiliza eventos de acessibilidade para:
• detectar quando uma nova mensagem aparece
• ler o conteúdo exibido
• extrair o texto antes mesmo de o usuário notar qualquer comportamento suspeito
Essa abordagem permite espionagem silenciosa e praticamente indetectável até para usuários experientes.
Controle total: o modo VNC e a ameaça bancária
Além de roubar mensagens, o Sturnus inclui um módulo completo de controle remoto via VNC, o que permite aos operadores visualizar e operar o dispositivo como se estivessem segurando-o fisicamente. Esse controle total é o que habilita o uso do Sturnus como um trojan bancário, já que os criminosos podem abrir aplicativos financeiros, realizar transferências ou aprovar transações, sem depender de engenharia social tradicional.
O malware ainda utiliza sobreposições HTML falsas, como supostas telas de atualização de apps ou solicitações de verificação, com o objetivo de induzir o usuário a inserir senhas bancárias ou liberar permissões críticas. Tudo isso é feito sem que o usuário perceba que se trata de uma camada falsa.
Evasão de desinstalação e privilégios de administrador
Para garantir persistência, o Sturnus exige privilégios de Administrador de Dispositivo, tornando praticamente impossível removê-lo de maneira convencional. Ele bloqueia tentativas de desinstalação, oculta sua presença e interfere nas configurações do sistema para impedir que o usuário reverta as permissões.
O malware também monitora tentativas de abrir páginas de segurança do Android, fechando janelas automaticamente sempre que identifica um risco de descoberta. Essa tática reforça seu caráter avançado e direcionado a fraudes financeiras de alta escala.
Como se proteger do Sturnus e de malwares similares
A defesa contra malwares como o Sturnus exige atenção redobrada às permissões e ao processo de instalação de aplicativos no Android. Algumas medidas essenciais incluem:
• evitar APKs fora da Play Store, especialmente de sites desconhecidos, anúncios e mensagens enviadas por desconhecidos ou contatos comprometidos
• verificar sempre se o aplicativo realmente precisa da permissão de Acessibilidade, já que esse recurso raramente é necessário para tarefas comuns
• manter o Google Play Protect ativo, pois ele detecta padrões conhecidos de comportamento malicioso
• utilizar autenticação em duas etapas para contas sensíveis, principalmente apps de bancos
• revisar periodicamente a lista de aplicativos com acesso à Acessibilidade e remover qualquer app suspeito
• evitar conceder permissões administrativas a apps que não sejam do próprio sistema
Cada uma dessas medidas reduz significativamente a chance de um ataque bem-sucedido.
Conclusão: a evolução das ameaças móveis
O Malware Sturnus Android representa um ponto de virada na sofisticação de trojans móveis, combinando leitura de tela, VNC, persistência avançada e técnicas profissionais de engenharia social. Sua capacidade de operar após a descriptografia das mensagens coloca em risco até usuários que acreditam estar protegidos por tecnologias de ponta.
Para evitar ser vítima dessa ameaça, é essencial revisar hoje mesmo as permissões de Acessibilidade do seu dispositivo, conferir os apps instalados e compartilhar este alerta com amigos e familiares. A prevenção continua sendo a barreira mais eficaz contra o avanço de malwares móveis cada vez mais engenhosos e invisíveis.
