Społeczność cyberbezpieczeństwa bije na alarm: badacze odkryli nowego, niezwykle niebezpiecznego trojana bankowego dla Androida o nazwie Sturnus . Celem tego złośliwego oprogramowania jest dokonywanie oszustw finansowych poprzez kradzież danych uwierzytelniających do aplikacji bankowych i efektywne przejęcie pełnej kontroli nad zainfekowanym urządzeniem.
Unikalna zaleta Sturnusa: ominięcie szyfrowania
Zdaniem ekspertów ThreatFabric, kluczową różnicą między Sturnusem a jego poprzednikami jest możliwość omijania szyfrowanych wiadomości w popularnych komunikatorach, takich jak WhatsApp, Telegram i Signal .
Jak to działa? Szkodliwe oprogramowanie wykonuje zrzuty ekranu natychmiast po odszyfrowaniu wiadomości. W ten sposób, nawet jeśli czat jest chroniony szyfrowaniem end-to-end, trojan może uzyskać dostęp do treści korespondencji.
Ataki nakładane w celu kradzieży danych bankowych
Jednym z głównych mechanizmów kradzieży danych finansowych są ataki typu overlay . Sturnus wyświetla fałszywe, ale identyczne z oryginalnymi, okna logowania na legalnych aplikacjach bankowych. Niczego niepodejrzewający użytkownik wpisuje swoje loginy i hasła, które są natychmiast przechwytywane przez atakujących.
To narzędzie jest wciąż prywatne i znajduje się na wczesnym etapie wdrażania, rozprzestrzeniając się za pośrednictwem fałszywych wersji popularnych aplikacji, takich jak Google Chrome i Preemix Box . Atakujący celują w banki w Europie Południowej i Środkowej , wykorzystując regionalne fałszywe interfejsy internetowe.

Schemat komunikacji i zdalnego sterowania
Nazwa Sturnus (Szpak) związana jest ze sposobem komunikacji trojana, który łączy transmisję jawnego tekstu z ruchem chronionym algorytmami AES i RSA .
Po zainstalowaniu Sturnus łączy się ze zdalnym serwerem za pośrednictwem protokołu WebSocket i protokołu HTTP , rejestruje urządzenie i tworzy kanał WebSocket umożliwiający pełną zdalną kontrolę za pomocą wirtualnej sieci obliczeniowej (mechanizm podobny do VNC).
Kamuflaż i absolutna kontrola
Oprócz ataków typu overlay trojan wykorzystuje funkcje ułatwień dostępu systemu Android (Usługi ułatwień dostępu) , które umożliwiają:
Przechwytywanie naciśnięć klawiszy (keylogging).
Rejestruj aktywność użytkownika.
Skopiuj treść wiadomości.
Odtwórz układ ekranu użytkownika i wykonuj zdalnie czynności: naciskaj przyciski, wprowadzaj tekst, przewijaj strony, uruchamiaj aplikacje, a nawet włączaj czarny ekran podczas wykonywania złośliwych operacji.
Kolejną podejrzaną cechą jest pełnoekranowe fałszywe okno aktualizacji systemu . Podczas gdy użytkownik widzi instalację „aktualizacji”, trojan wykonuje swoje złośliwe zadania.
Jak Sturnus chroni się przed usunięciem
Sturnus posiada wbudowany mechanizm utrudniający jego usunięcie. Jeśli użytkownik otworzy ustawienia, w których może wyłączyć uprawnienia administratora (wymagane do usunięcia), trojan automatycznie zamknie tę sekcję . Dopóki uprawnienia administratora nie zostaną ręcznie usunięte, usunięcie złośliwego oprogramowania jest praktycznie niemożliwe.
Ponadto trojan zbiera dane o czujnikach, sieci, sprzęcie i zainstalowanych programach, co pomaga atakującym dostosować ataki i uniknąć wykrycia przez oprogramowanie antywirusowe.
Opinia eksperta
Mimo że skala infekcji jest na razie niewielka, eksperci ostrzegają, że połączenie punktowej dystrybucji i wyraźne skupienie się na dochodowych aplikacjach bankowych wskazuje, że twórcy Sturnusa przygotowują się na większe i bardziej skoordynowane ataki w przyszłości.
Uwaga: Aby zminimalizować ryzyko infekcji, zawsze pobieraj aplikacje tylko z oficjalnego sklepu Google Play i zachowaj ostrożność w przypadku próśb o uprawnienia administratora lub dostęp do funkcji specjalnych.









