Come rimuovere Sturnus dai dispositivi infetti

Che tipo di malware è Sturnus?

Sturnus è un malware Android (un trojan bancario) in grado di controllare un dispositivo. È in grado di leggere i messaggi di chat, rubare dati bancari mostrando pagine di login false e altro ancora. Gli aggressori possono eseguire azioni dannose in remoto in background, mantenendo lo schermo nascosto alla vittima.

Sturnus in dettaglio

Sturnus è ancora in fase di test, ma è già stato configurato per colpire le banche europee. Sebbene sia ancora agli stadi iniziali, questo malware è noto per essere più avanzato rispetto a molte altre minacce di questo tipo. Le sue principali funzionalità includono attacchi overlay, keylogging, intercettazione di SMS, registrazione dello schermo e accesso e controllo remoto.

Il malware comunica con il proprio server di controllo utilizzando messaggi in chiaro e crittografati. Innanzitutto, registra il dispositivo e ottiene un ID univoco e una chiave speciale dal server. Quindi crea una propria chiave segreta, la blocca utilizzando la chiave del server e la rispedisce, conservandone una copia sul dispositivo. Ciò consente a Sturnus di inviare e ricevere messaggi segreti con il server.

Sturnus ruba i dati principalmente in due modi: mostrando schermate di accesso false (overlay) e utilizzando un keylogger per catturare ciò che la vittima digita. È in grado di generare pagine di phishing che sembrano essere app bancarie legittime. Quando una di queste viene attivata, si apre una WebView che raccoglie tutto ciò che la vittima inserisce.

Dopo aver rubato i dati, quella schermata falsa viene disattivata per evitare sospetti. Sturnus può anche mostrare una sovrapposizione nera a schermo intero che nasconde tutto ciò che sta accadendo, consentendo ai criminali informatici di eseguire azioni in background senza che la vittima se ne accorga.

La funzione di keylogging del malware sfrutta il servizio di accessibilità di Android. È in grado di rilevare azioni quali digitazione, tocco e passaggio da un campo all'altro, quindi può acquisire il testo man mano che viene inserito e sapere con cosa sta interagendo la vittima. Inoltre, il malware può acquisire ciò che appare sullo schermo. Queste funzionalità consentono al malware anche di rubare PIN e password.

Inoltre, Sturnus rileva quando la vittima apre app come WhatsApp, Signal o Telegram. Quando rileva una di queste app, inizia a catturare tutto ciò che viene visualizzato sullo schermo. Può persino accedere ai messaggi dopo che sono stati decriptati dall'app. Ciò significa che gli aggressori possono visualizzare i contatti, le cronologie complete delle chat e tutti i messaggi in tempo reale.

Inoltre, i criminali informatici possono utilizzare Sturnus per controllare da remoto il dispositivo della vittima. Il malware utilizza alcune tecniche che consentono ai criminali informatici di vedere il dispositivo in tempo reale ed eseguire azioni quali toccare, digitare, scorrere o approvare autorizzazioni.

Oltre alle funzionalità sopra menzionate, Sturnus può ottenere i diritti di amministratore e impedire alla vittima di rimuoverli (è in grado di rilevare i tentativi in tal senso). Può anche rilevare modifiche delle password, attività di blocco dello schermo, modifiche alla rete, sostituzioni della SIM, modifiche alle impostazioni di sicurezza e altro ancora. L'obiettivo è quello di evitare il rilevamento e rimanere attivo il più a lungo possibile.

Conclusione

Sturnus è un malware Android altamente avanzato in grado di rubare dati sensibili tramite schermate di accesso false, keylogging e cattura dello schermo, leggere app di messaggistica crittografate e fornire agli aggressori il controllo remoto completo del dispositivo. Gli utenti dei dispositivi infetti potrebbero riscontrare problemi quali furto di account, furto di identità, perdite finanziarie e altre conseguenze negative.

Se rilevato su un dispositivo, Sturnus deve essere rimosso il prima possibile. Altri esempi di malware Android sono Landfall, Fantasy Hub e BankBot.

Come ha fatto Sturnus a infiltrarsi nel mio dispositivo?

Sturnus viene tipicamente distribuito tramite metodi di social engineering. Gli aggressori inviano e-mail false che esortano gli utenti a scaricare un'app dannosa. Utilizzano anche messaggi SMS truffaldini con link che indirizzano le vittime al malware. Inoltre, si affidano ad app apparentemente legittime, note come dropper, che scaricano e installano Sturnus in modo silenzioso senza che l'utente se ne accorga.

Come evitare l'installazione di malware?

Scarica le app solo da fonti affidabili, come pagine ufficiali o Google Play. Mantieni aggiornati il sistema operativo e le app ed esegui regolarmente uno strumento di sicurezza affidabile per verificare la presenza di minacce. Evita di aprire file o cliccare su link contenuti in e-mail, messaggi o SMS che non ti aspettavi. Inoltre, presta attenzione agli annunci pubblicitari, ai link e ai pop-up su siti web inaffidabili o sospetti.

Finestra sovrapposta falsa utilizzata per rubare informazioni sensibili (fonte: threatfabric.com):

Una finestra falsa utilizzata per nascondere attività in background (fonte: threatfabric.com):

Menu rapido:

• Introduzione
• Come eliminare la cronologia di navigazione dal browser Chrome?
• Come disattivare le notifiche del browser nel browser web Chrome?
• Come ripristinare il browser web Chrome?
• Come eliminare la cronologia di navigazione dal browser web Firefox?
• Come disattivare le notifiche del browser nel browser web Firefox?
• Come ripristinare il browser web Firefox?
• Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
• Come avviare il dispositivo Android in "Modalità provvisoria"?
• Come controllare l'utilizzo della batteria da parte delle varie applicazioni?
• Come controllare l'utilizzo dei dati delle varie applicazioni?
• Come installare gli ultimi aggiornamenti software?
• Come ripristinare le impostazioni predefinite del sistema?
• Come disabilitare le applicazioni che dispongono dei privilegi di amministratore?

Elimina la cronologia di navigazione dal browser Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Tocca "Cancella dati di navigazione", seleziona la scheda "AVANZATE", scegli l'intervallo di tempo e i tipi di dati che desideri eliminare e tocca "Cancella dati".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Impostazioni" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccala. Scorri verso il basso fino a visualizzare l'opzione "Notifiche" e toccala.

Trova i siti web che inviano notifiche al browser, toccali e clicca su "Cancella e ripristina". In questo modo verranno rimossi i permessi concessi a questi siti web per l'invio di notifiche. Tuttavia, quando visiterai nuovamente lo stesso sito, potrebbe chiederti nuovamente il permesso. Puoi scegliere se concedere o meno queste autorizzazioni (se scegli di rifiutare, il sito web passerà alla sezione "Bloccato" e non ti chiederà più l'autorizzazione).

[Torna al Sommario]

Reimposta il browser web Chrome:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Chrome", selezionala e tocca l'opzione "Memoria".

Tocca "GESTISCI MEMORIA", quindi "CANCELLA TUTTI I DATI" e conferma l'azione toccando "OK". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Elimina la cronologia di navigazione dal browser web Firefox:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare "Cancella dati privati" e toccalo. Seleziona i tipi di dati che desideri rimuovere e tocca "CANCELLA DATI".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Firefox:

Visita il sito web che invia le notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli indirizzi (l'icona non sarà necessariamente una "Lucchetto") e seleziona "Modifica impostazioni sito".

Nel pop-up aperto, seleziona l'opzione "Notifiche" e tocca "CANCELLA".

[Torna al Sommario]

Reimposta il browser web Firefox:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Firefox", selezionala e tocca l'opzione "Memoria".

Tocca "CANCELLA DATI" e conferma l'azione toccando "ELIMINA". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Disinstallare applicazioni potenzialmente indesiderate e/o dannose:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a visualizzare un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca "Disinstalla". Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, viene visualizzato un messaggio di errore), prova a utilizzare la "Modalità provvisoria".

[Torna al Sommario]

Avvia il dispositivo Android in "Modalità provvisoria":

La "Modalità provvisoria" nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un ottimo modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").

Premere il pulsante "Accensione" e tenerlo premuto fino a quando non viene visualizzata la schermata "Spegnimento". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo alcuni secondi apparirà l'opzione "Modalità provvisoria" che potrà essere eseguita riavviando il dispositivo.

[Torna al Sommario]

Controlla l'utilizzo della batteria delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Manutenzione dispositivo" e toccalo.

Tocca "Batteria" e controlla l'utilizzo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per consumare il meno possibile energia, al fine di garantire la migliore esperienza utente e risparmiare energia. Pertanto, un elevato utilizzo della batteria potrebbe indicare che l'applicazione è dannosa.

[Torna al Sommario]

Controlla l'utilizzo dei dati delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Connessioni" e toccalo.

Scorri verso il basso fino a visualizzare "Utilizzo dati" e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo eccessivo dei dati può indicare la presenza di applicazioni dannose. Tieni presente che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, è necessario controllare sia l'utilizzo dei dati mobili che quello del Wi-Fi.

Se trovi un'applicazione che utilizza molti dati anche se non la usi mai, ti consigliamo vivamente di disinstallarla il prima possibile.

[Torna al Sommario]

Installa gli ultimi aggiornamenti software:

Mantenere il software aggiornato è una buona pratica quando si tratta della sicurezza dei dispositivi. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug che potrebbero essere sfruttati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, motivo per cui è necessario assicurarsi sempre che il software del dispositivo sia aggiornato.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Aggiornamento software" e toccalo.

Tocca "Scarica aggiornamenti manualmente" e verifica se sono disponibili aggiornamenti. Se sì, installali immediatamente. Ti consigliamo inoltre di abilitare l'opzione "Scarica aggiornamenti automaticamente": in questo modo il sistema ti avviserà quando sarà disponibile un aggiornamento e/o lo installerà automaticamente.

[Torna al Sommario]

Ripristina il sistema allo stato predefinito:

Eseguire un "ripristino delle impostazioni di fabbrica" è un ottimo modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, incluse foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà ripristinato al suo stato originale.

È anche possibile ripristinare le impostazioni di sistema di base e/o semplicemente le impostazioni di rete.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Informazioni sul telefono" e toccalo.

Scorri verso il basso fino a visualizzare "Reimposta" e toccalo. Ora scegli l'azione che desideri eseguire:
" Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;

[Torna al Sommario]

Disattiva le applicazioni che dispongono dei privilegi di amministratore:

Se un'applicazione dannosa ottiene privilegi di amministratore, può danneggiare gravemente il sistema. Per mantenere il dispositivo il più sicuro possibile, è necessario controllare sempre quali app dispongono di tali privilegi e disabilitare quelle che non dovrebbero averli.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Blocco schermo e sicurezza" e toccalo.

Scorri verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccalo e poi tocca "App di amministrazione del dispositivo".

Identifica le applicazioni che non dovrebbero avere privilegi di amministratore, toccale e poi tocca "DISATTIVA".

Domande frequenti (FAQ)

Il mio dispositivo è stato infettato dal malware Sturnus, devo formattare il mio dispositivo di archiviazione per eliminarlo?

Di solito non è necessario formattare completamente il dispositivo. Minacce come Sturnus possono spesso essere rimosse utilizzando strumenti antivirus o anti-malware affidabili, come Combo Cleaner.

Quali sono i problemi più gravi che possono causare i malware?

A seconda del tipo, il malware può rubare informazioni sensibili, installare altri programmi dannosi, crittografare file, compromettere le prestazioni del sistema e svolgere altre attività dannose.

Qual è lo scopo di Sturnus?

Sturnus è progettato per rubare informazioni finanziarie e dare agli aggressori il pieno controllo dei dispositivi Android infetti, principalmente per commettere frodi bancarie.

Come ha fatto Sturnus a infiltrarsi nel mio dispositivo?

Sturnus è probabilmente entrato nel tuo dispositivo tramite un'e-mail di phishing, un SMS di smishing o un dropper che si fingeva un'applicazione legittima.

Combo Cleaner mi proteggerà dai malware?

Combo Cleaner è in grado di rilevare e rimuovere la maggior parte dei malware conosciuti. Tuttavia, poiché alcune minacce avanzate possono nascondersi in profondità nel sistema, è importante eseguire una scansione completa del sistema per garantire la rimozione completa.