Nowy trojan bankowy Sturnus na Androida: omija szyfrowanie i przejmuje pełną kontrolę nad urządzeniem

Android-троян Sturnus Technologie

Społeczność cyberbezpieczeństwa bije na alarm: badacze odkryli nowego, niezwykle niebezpiecznego trojana bankowego dla Androida o nazwie Sturnus . Celem tego złośliwego oprogramowania jest dokonywanie oszustw finansowych poprzez kradzież danych uwierzytelniających do aplikacji bankowych i efektywne przejęcie pełnej kontroli nad zainfekowanym urządzeniem.

Unikalna zaleta Sturnusa: ominięcie szyfrowania

Zdaniem ekspertów ThreatFabric, kluczową różnicą między Sturnusem a jego poprzednikami jest możliwość omijania szyfrowanych wiadomości w popularnych komunikatorach, takich jak WhatsApp, Telegram i Signal .

Jak to działa? Szkodliwe oprogramowanie wykonuje zrzuty ekranu natychmiast po odszyfrowaniu wiadomości. W ten sposób, nawet jeśli czat jest chroniony szyfrowaniem end-to-end, trojan może uzyskać dostęp do treści korespondencji.

Ataki nakładane w celu kradzieży danych bankowych

Jednym z głównych mechanizmów kradzieży danych finansowych są ataki typu overlay . Sturnus wyświetla fałszywe, ale identyczne z oryginalnymi, okna logowania na legalnych aplikacjach bankowych. Niczego niepodejrzewający użytkownik wpisuje swoje loginy i hasła, które są natychmiast przechwytywane przez atakujących.

To narzędzie jest wciąż prywatne i znajduje się na wczesnym etapie wdrażania, rozprzestrzeniając się za pośrednictwem fałszywych wersji popularnych aplikacji, takich jak Google Chrome i Preemix Box . Atakujący celują w banki w Europie Południowej i Środkowej , wykorzystując regionalne fałszywe interfejsy internetowe.

Herodotus.A-Android-Trojan

Schemat komunikacji i zdalnego sterowania

Nazwa Sturnus (Szpak) związana jest ze sposobem komunikacji trojana, który łączy transmisję jawnego tekstu z ruchem chronionym algorytmami AES i RSA .

Po zainstalowaniu Sturnus łączy się ze zdalnym serwerem za pośrednictwem protokołu WebSocket i protokołu HTTP , rejestruje urządzenie i tworzy kanał WebSocket umożliwiający pełną zdalną kontrolę za pomocą wirtualnej sieci obliczeniowej (mechanizm podobny do VNC).

Kamuflaż i absolutna kontrola

Oprócz ataków typu overlay trojan wykorzystuje funkcje ułatwień dostępu systemu Android (Usługi ułatwień dostępu) , które umożliwiają:

  • Przechwytywanie naciśnięć klawiszy (keylogging).

  • Rejestruj aktywność użytkownika.

  • Skopiuj treść wiadomości.

  • Odtwórz układ ekranu użytkownika i wykonuj zdalnie czynności: naciskaj przyciski, wprowadzaj tekst, przewijaj strony, uruchamiaj aplikacje, a nawet włączaj czarny ekran podczas wykonywania złośliwych operacji.

Kolejną podejrzaną cechą jest pełnoekranowe fałszywe okno aktualizacji systemu . Podczas gdy użytkownik widzi instalację „aktualizacji”, trojan wykonuje swoje złośliwe zadania.

Jak Sturnus chroni się przed usunięciem

Sturnus posiada wbudowany mechanizm utrudniający jego usunięcie. Jeśli użytkownik otworzy ustawienia, w których może wyłączyć uprawnienia administratora (wymagane do usunięcia), trojan automatycznie zamknie tę sekcję . Dopóki uprawnienia administratora nie zostaną ręcznie usunięte, usunięcie złośliwego oprogramowania jest praktycznie niemożliwe.

Ponadto trojan zbiera dane o czujnikach, sieci, sprzęcie i zainstalowanych programach, co pomaga atakującym dostosować ataki i uniknąć wykrycia przez oprogramowanie antywirusowe.

Opinia eksperta

Mimo że skala infekcji jest na razie niewielka, eksperci ostrzegają, że połączenie punktowej dystrybucji i wyraźne skupienie się na dochodowych aplikacjach bankowych wskazuje, że twórcy Sturnusa przygotowują się na większe i bardziej skoordynowane ataki w przyszłości.

Uwaga: Aby zminimalizować ryzyko infekcji, zawsze pobieraj aplikacje tylko z oficjalnego sklepu Google Play i zachowaj ostrożność w przypadku próśb o uprawnienia administratora lub dostęp do funkcji specjalnych.

ALLBoard