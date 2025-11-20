Onderzoekers hebben nieuwe malware ontdekt die WhatsApp-, Signal- en Telegram-berichten op besmette telefoons kan lezen. De Sturnus-malware is in de kern een banking trojan, malware speciaal ontwikkeld voor het plegen van bankfraude, zo laat securitybedrijf ThreatFabric in een analyse weten. De malware is echter ook in staat om communicatie via WhatsApp, Telegram en Signal te monitoren.

Volgens de onderzoekers bevindt Sturnus zich nog in een ontwikkel- of testfase en is daarbij ingezet tegen doelen in Centraal en Zuid-Europa. Net als andere bankmalware kan Sturnus boven bank-apps een fake inlogvenster tonen. Wanneer gebruikers hun gegevens in dit scherm invullen worden die naar de aanvallers gestuurd. Daarnaast kunnen aanvallers via de malware een besmette telefoon op afstand overnemen en bijvoorbeeld een zwart scherm tonen dat alle visuele feedback blokkeert, terwijl er in de achtergrond malafide transacties worden uitgevoerd. Het scherm dat de gebruiker te zien krijgt kan bijvoorbeeld melden dat er een update wordt uitgevoerd, terwijl dat niet het geval is.

Naast het monitoren van bank-apps op besmette telefoons houdt de malware ook het gebruik van chatdiensten zoals WhatsApp, Signal en Telegram in de gaten. Door middel van de Android Accessibility Service kan de malware in real-time alles lezen wat op het scherm zichtbaar is. "Waaronder contacten, volledige gesprekken en de inhoud van inkomende en uitgaande berichten", aldus de onderzoekers. Die denken dat de ontwikkelaars van Sturnus met de monitoringsfunctie gevoelige communicatie in verschillende omgevingen proberen te onderscheppen.

Verder past de Android-malware allerlei maatregelen toe om verwijdering te voorkomen. Zo kan het telefoons op afstand vergrendelen. En wanneer slachtoffers naar het instellingenmenu gaan, om de administrator status van de malware uit te schakelen, wordt het scherm automatisch gesloten. "Totdat de administrator-rechten handmatig worden ingetrokken, wordt het gewoon verwijderen en verwijderen via tools zoals ADB geblokkeerd, wat de malware een goede bescherming tegen opschoonpogingen geeft", merken de onderzoekers op.