- Sturnus, WhatsApp, Telegram və Signal kimi şifrələnmiş proqramlardan etimadnamələri oğurlayan və mesajları ələ keçirən Android üçün bank troyanıdır.
- Ekrandakı hər şeyi oxumaq və VNC tipli seanslardan istifadə edərək cihazı uzaqdan idarə etmək üçün Android Əlçatanlıq Xidmətindən sui-istifadə edir.
- O, tanınmış proqramlar (məsələn, Google Chrome) kimi maskalanan və ilk növbədə Mərkəzi və Cənubi Avropadakı bankları hədəf alan zərərli APK kimi yayılır.
- O, şifrələnmiş kommunikasiyalardan (HTTPS, RSA, AES, WebSocket) istifadə edir və davamlı qalmaq və onun silinməsini çətinləşdirmək üçün administrator imtiyazları tələb edir.
Un Android üçün yeni bank Trojan Sturnus adlanır işə saldı Avropa kibertəhlükəsizlik sektorunda həyəcan siqnallarıBu zərərli proqram təkcə maliyyə etimadnamələrini oğurlamaq üçün nəzərdə tutulmayıb, həm də WhatsApp, Telegram və Signal danışıqlarını oxuya bilir və yoluxmuş cihaza demək olar ki, tam nəzarət edin.
Təhlükə, araşdırmaçılar tərəfindən təyin olundu ThreatFabric və BleepingComputer tərəfindən istinad edilən analitiklər hələ də a erkən yerləşdirmə mərhələsilakin artıq nümayiş etdirir a qeyri-adi incəlik səviyyəsiİndiyə qədər aşkarlanan kampaniyalar məhdud olsa da, ekspertlər bunun istifadəçilərə qarşı daha geniş miqyaslı hücumdan əvvəl sınaq olduğundan qorxurlar. Mərkəzi və Cənubi Avropada mobil bankçılıq.
Sturnus nədir və niyə bu qədər narahatlığa səbəb olur?
Sturnus Android üçün bank troyanıdır bir neçə təhlükəli imkanları bir paketdə birləşdirir: maliyyə etimadnamələrinin oğurlanması, şifrələnmiş mesajlaşma proqramlarında casusluq və qabaqcıl əlçatanlıq üsullarından istifadə edərək telefonun uzaqdan idarə edilməsi.
tərəfindən dərc edilən texniki analizə görə ThreatFabricZərərli proqram aydın peşəkar yanaşma ilə özəl şirkət tərəfindən işlənib hazırlanır və idarə olunur. Kodun və infrastrukturun hələ də inkişaf etməkdə olduğu görünsə də, təhlil edilən nümunələr belədir tam işləkdir, bunu göstərir Təcavüzkarlar artıq Trojanı real qurbanlar üzərində sınaqdan keçirirlər..
Tədqiqatçılar bildirirlər ki, hələlik aşkarlanan hədəflər burada cəmləşib Avropa maliyyə institutlarının müştərilərixüsusilə qitənin mərkəzi və cənub hissələrində. Bu diqqət mərkəzində aydın görünür saxta şablonlar və ekranlar zərərli proqrama inteqrasiya edilmiş, yerli bank proqramlarının görünüşünü imitasiya etmək üçün xüsusi olaraq hazırlanmışdır.
Bu birləşmə regional diqqət, yüksək texniki təkmillik və sınaq mərhələsi Bu, Sturnus-u təmkinlə başlayan və minlərlə cihaza təsir edən əvvəlki bank troyan kampaniyalarına bənzər, böyümə potensialı olan yeni təhlükə kimi görünür.
Necə yayılır: saxta proqramlar və gizli kampaniyalar
Paylanması Sturnus zərərli APK fayllarına əsaslanır qanuni və populyar proqramlar kimi maskalanan. Tədqiqatçılar təqlid edən paketləri müəyyən etmişlərbaşqaları arasında, Google Chrome-a (kimi qarışıq paket adları ilə com.klivkfbky.izaybebnx) və ya zahirən zərərsiz kimi görünən proqramlar Preemix qutusu (com.uvxuthoq.noscjahae).
Baxmayaraq ki dəqiq diffuziya üsulu Hələ dəqiqliklə müəyyən edilməmişdir, lakin sübutlar kampaniyalara işarə edir fişinq və zərərli reklamlarhəmçinin mesajlaşma platformaları vasitəsilə göndərilən şəxsi mesajlar. Bu mesajlar fırıldaqçı vebsaytlara yönləndirilir, burada istifadəçi əslində Trojan quraşdırıcısı olan ehtimal olunan yeniləmələri və ya kommunal proqramları yükləməyə dəvət olunur.
Qurban fırıldaqçı proqramı quraşdırdıqdan sonra Sturnus xahiş edir Əlçatanlıq icazələri və hallarda, cihaz administratoru imtiyazlarıBu sorğular, təkmil funksiyalar təmin etmək və ya performansı təkmilləşdirmək üçün lazım olduğunu iddia edərək, qanuni görünən mesajlar kimi maskalanır. İstifadəçi bu kritik icazələri verdikdə, zərərli proqram imkanı qazanır ekranda baş verən hər şeyi görüninterfeys ilə qarşılıqlı əlaqə qurmaq və onun adi kanallar vasitəsilə silinməsinin qarşısını almaq vacibdir, ona görə də bilmək çox vacibdir Zərərli proqramı androiddən necə çıxarmaq olar.
Overlay ekranlar vasitəsilə bank etimadnamələrinin oğurlanması
Sturnus'un klassik, lakin hələ də çox təsirli funksiyalarından biri də istifadəsidir overlay hücumları bank məlumatlarını oğurlamaq. Bu texnika nümayişi əhatə edir qanuni proqramlar üzərində saxta ekranlar, qurbanın bank proqramının interfeysini sədaqətlə təqlid edir.
İstifadəçi bank tətbiqini açdıqda, Trojan hadisəni aşkarlayır və saxta giriş və ya doğrulama pəncərəsi göstərir. istifadəçi adı, parol, PIN və ya kart məlumatlarıTəsirə məruz qalan şəxs üçün təcrübə tamamilə normal görünür: vizual görünüş real bankın loqolarını, rənglərini və mətnlərini təkrarlayır.
Qurban məlumatı daxil edən kimi, Sturnus etimadnamələri təcavüzkarların serverinə göndərir şifrələnmiş kanallardan istifadə etməklə. Qısa müddətdən sonra o, saxta ekranı bağlaya və idarəetməni real proqrama qaytara bilər, buna görə də istifadəçi çox vaxt diqqətdən kənarda qalan cüzi gecikmə və ya qəribə davranışı çətinliklə hiss edir. Belə bir oğurluqdan sonra həlledicidir Bank hesabınızın sındırıldığını yoxlayın.
Bundan əlavə, Trojan qadirdir düymə vuruşlarını qeyd edin və oğurlaya biləcəyi məlumat növünü genişləndirən digər həssas tətbiqlər daxilində davranışlar: parollardan onlayn xidmətlərə daxil olmaq üçün SMS və ya autentifikasiya proqramlarından gələn mesajlarla göndərilən doğrulama kodlarına qədər.
Şifrələməni pozmadan WhatsApp, Telegram və Signal mesajlarına necə casusluq etmək olar
Sturnusun ən narahatedici cəhəti onun qabiliyyətidir uç-to-end şifrələmədən istifadə edən mesajlaşma söhbətlərini oxuyunWhatsApp, Telegram (şifrələnmiş söhbətlərində) və ya Signal kimi. İlk baxışdan, zərərli proqramın kriptoqrafik alqoritmləri pozmağı bacardığı görünə bilər, lakin reallıq daha incə və narahatdır.
Mesajların ötürülməsinə hücum etmək əvəzinə, Sturnus Android Əlçatanlıq Xidmətindən istifadə edir ön planda göstərilən proqramları izləmək üçün. İstifadəçinin bu mesajlaşma proqramlarından birini açdığını aşkar etdikdə, Trojan sadəcə... ekranda görünən məzmunu birbaşa oxuyun.
Başqa sözlə, tranzit zamanı şifrələməni pozmur: proqramın özünün mesajların şifrəsini açmasını gözləyin və onları istifadəçiyə göstərin. Həmin anda zərərli proqram mətnə, əlaqə adlarına, söhbət mövzularına, gələn və gedən mesajlara və hətta interfeysdə mövcud olan digər detallara daxil ola bilər.
Bu yanaşma Sturnusa imkan verir tamamilə uç-to-end şifrələmə mühafizəsindən yan keçin riyazi baxımdan onu pozmağa ehtiyac olmadan. Təcavüzkarlar üçün telefon nəzəri olaraq hətta vasitəçilərdən və xidmət təminatçılarından gizli qalmalı olan məlumatları aşkar edən açıq pəncərə rolunu oynayır.
İspaniya və Avropada Android istifadəçiləri üçün qorunma tədbirləri
Sturnus kimi təhdidlərlə üzləşib Təhlükəsizlik mütəxəssisləri bir neçə əsas vərdişləri gücləndirməyi tövsiyə edir gündəlik mobil telefon istifadəsində:
- APK fayllarını quraşdırmaqdan çəkinin tam təsdiqlənmiş və ciddi zəruri mənbələrdən alınmadıqda, rəsmi Google mağazasından kənarda əldə edilmişdir.
- Diqqətlə nəzərdən keçirin proqramlar tərəfindən tələb olunan icazələrÇox aydın səbəb olmadan Əlçatanlıq Xidmətinə giriş tələb edən hər hansı proqram qırmızı bayraqlar qaldırmalıdır.
- Gələn istəklərdən ehtiyatlı olun cihaz administratoru imtiyazlarıəksər hallarda standart tətbiqin normal işləməsi üçün lazım deyil.
- Saxlayın Google Play Protect və digər təhlükəsizlik həlləri Əməliyyat sistemini və quraşdırılmış proqramları müntəzəm olaraq aktiv şəkildə yeniləyin və həssas icazələrə malik proqramların siyahısını vaxtaşırı nəzərdən keçirin.
- Diqqətli olun qəribə davranışlar (şübhəli bank ekranları, gözlənilməz etimadnamə sorğuları, qəfil yavaşlamalar) və istənilən xəbərdarlıq işarəsi ilə dərhal hərəkət edin.
Şübhəli infeksiya halında, mümkün cavablardan biri ola bilər administrator və əlçatanlıq imtiyazlarını əl ilə ləğv edin Sistem parametrlərindən naməlum proqramları silin. Cihaz simptomları göstərməyə davam edərsə, vacib məlumatların ehtiyat nüsxəsini çıxarmaq və yalnız tamamilə zəruri olanı bərpa etməklə zavod parametrlərinə sıfırlama etmək lazım ola bilər.
Sturnusun görünüşü onu təsdiqləyir Android ekosistemi prioritet hədəf olaraq qalır Resursları və maliyyə motivasiyası olan cinayətkar qruplar üçün nəzərdə tutulmuş bu troyan bank oğurluğu, şifrəli mesajlaşma casusluğu və uzaqdan idarəetməni vahid paketdə birləşdirir. O, gizli işləmək üçün əlçatanlıq icazələrindən və şifrələnmiş rabitə kanallarından istifadə edir. İspaniya və Avropada getdikcə daha çox istifadəçinin pullarını və şəxsi kommunikasiyalarını idarə etmək üçün cib telefonlarına güvəndiyi bir şəraitdə ayıq qalmaq və yaxşı rəqəmsal təcrübələri mənimsəmək oxşar təhlükələrin qurbanı olmamaq üçün mühüm əhəmiyyət kəsb edir.
Mən öz "geek" maraqlarını peşəyə çevirmiş texnologiya həvəskarıyam. Mən həyatımın 10 ilindən çoxunu qabaqcıl texnologiyadan istifadə edərək və hər cür proqramlarla maraqlanaraq sərf etmişəm. İndi mən kompüter texnologiyası və video oyunları üzrə ixtisaslaşmışam. Bunun səbəbi, 5 ildən artıqdır ki, texnologiya və video oyunlarla bağlı müxtəlif saytlar üçün yazılar yazıram, sizə lazım olan məlumatları hamı üçün başa düşülən dildə verməyə çalışan məqalələr hazırlayıram.
Hər hansı bir sualınız varsa, mənim biliklərim Windows əməliyyat sistemi, eləcə də mobil telefonlar üçün Android ilə əlaqəli hər şeyi əhatə edir. Və mənim öhdəliyim sizədir, mən həmişə bir neçə dəqiqə sərf etməyə və bu internet dünyasında yarana biləcək bütün suallarınızı həll etməyə kömək etməyə hazıram.