Onderzoekers hebben een nieuwe vorm van malware ontdekt die berichten van WhatsApp, Signal en Telegram op geïnfecteerde apparaten kan lezen. Deze malware, genaamd Sturnus, is in essentie een banking trojan, ontworpen voor bankfraude, aldus een analyse van securitybedrijf ThreatFabric. Naast bankfraude kan de malware ook communicatie via WhatsApp, Telegram en Signal volgen.

Volgens de onderzoekers bevindt Sturnus zich nog in een ontwikkelings- of testfase en is het gericht op doelen in Centraal en Zuid-Europa. Net als andere bankmalware kan Sturnus een vals inlogscherm boven bank-apps tonen. Gebruikers die hun gegevens invoeren, sturen deze naar de aanvallers. De malware kan ook een besmette telefoon op afstand overnemen en een zwart scherm tonen, waardoor malafide transacties op de achtergrond plaatsvinden. Dit scherm kan bijvoorbeeld aangeven dat er een update plaatsvindt, terwijl dat niet zo is. Naast het monitoren van bank-apps houdt de malware ook chatdiensten zoals WhatsApp, Signal en Telegram in de gaten. Via de Android Accessibility Service kan de malware in real-time alles lezen wat op het scherm verschijnt, inclusief contacten en berichten. De ontwikkelaars van Sturnus proberen hiermee gevoelige communicatie te onderscheppen. De malware heeft ook maatregelen om verwijdering te voorkomen, zoals het op afstand vergrendelen van telefoons. Wanneer gebruikers naar het instellingenmenu gaan om de administratorstatus uit te schakelen, sluit het scherm automatisch. Totdat de administrator-rechten handmatig worden ingetrokken, wordt verwijdering via tools zoals ADB geblokkeerd, wat de malware beschermt tegen opschoonpogingen, aldus de onderzoekers.