Investigadores de segurança detetaram uma nova ameaça para Android que deve deixar-te em alerta. Chama-se ‘Sturnus’ e não se limita a espiar as tuas mensagens: o seu objetivo principal é chegar aos teus dados bancários. Aplicações que costumamos ver como seguras — como o WhatsApp, o Signal e o Telegram — não escapam a este ataque. Os especialistas não poupam nas palavras e classificam-no mesmo como “o trojan bancário mais avançado do momento”.
O perigo do Sturnus
A estratégia do Sturnus baseia-se na dissimulação. Este malware disfarça-se de aplicação legítima — muitas vezes mascarando-se como o browser Google Chrome — para te levar ao engano. Uma vez instalado, o “lobisomem” tira a máscara: começa a pedir permissões alargadas, especificamente o acesso às funções de acessibilidade.
Se lhe deres essa chave, entregas-lhe praticamente o controlo total do teu telemóvel. Com esse nível de acesso, o Sturnus consegue ler tudo o que aparece no teu ecrã. E aqui reside o grande problema: ele captura a informação depois de a mensagem ser descodificada e exibida.
Isto significa que a famosa encriptação ponta-a-ponta (end-to-end encryption) de apps como o WhatsApp ou o Signal, embora continue a funcionar tecnicamente, deixa de te proteger contra este olhar indiscreto, pois o malware está a ler o ecrã “por cima” do ombro da aplicação.
Mas o cenário piora. O truque mais perigoso deste malware é a capacidade de criar “overlays” ou sobreposições. Basicamente, ele desenha um ecrã de login falso (usando código HTML) e coloca-o exatamente por cima da app verdadeira do teu banco.
Tu pensas que estás a introduzir as tuas credenciais na tua conta, mas, na realidade, estás a enviar a informação diretamente para os criminosos. Se isto acontecer numa app bancária, as consequências financeiras podem ser devastadoras.
Não são só os dados bancários que estão em risco
Se achas que o risco se resume ao dinheiro, desengana-te. Segundo a análise da Threat Fabric, a voracidade deste malware vai muito além. Como o Sturnus consegue ler o conteúdo do ecrã e até o texto que copias para a área de transferência, toda a tua vida digital fica exposta.
Mensagens privadas, fotografias, e-mails e outras informações sensíveis podem ser intercetadas sem que te apercebas.
Para tornar tudo mais difícil, este malware é persistente. Graças às permissões de acessibilidade, ele sabe esconder-se: consegue mascarar notificações que o pudessem denunciar, reinicia-se automaticamente após o telemóvel ser ligado e mantém o acesso ao sistema mesmo em segundo plano.
Como evitar a infeção
A grande questão é: como é que isto entra no telemóvel? Tal como acontece com a maioria deste tipo de ameaças, a porta de entrada são os ficheiros APK infetados, descarregados fora da Google Play Store (o chamado “sideloading”).
A Google já reagiu a esta situação. Em declarações à Android Authority, a gigante tecnológica garantiu: “Baseado na nossa deteção atual, não encontrámos apps infetadas na Google Play. Os utilizadores Android estão protegidos por defeito contra este tipo de infeções através do Google Play Protect. O Google Play Protect avisa os utilizadores contra este tipo de apps e pode bloquear apps que tentam executar ações maliciosas. Isto aplica-se mesmo a apps que vêm de fora da Play.“
A regra de ouro mantém-se: evita descarregar aplicações de sites desconhecidos ou lojas não oficiais. Se precisas de um browser, de uma app de mensagens ou de qualquer outra ferramenta para o dia a dia, mantém-te na segurança da Google Play Store. É a forma mais simples de garantir que o teu telemóvel — e a tua conta bancária — permanecem seguros.
