Sturnus Trojan: bankarski zlonamjerni softver koji špijunira WhatsApp

Sturnus je bankarski trojanac za Android koji krade vjerodajnice i presreće poruke iz šifriranih aplikacija poput WhatsAppa, Telegrama i Signala.
Zloupotrebljava Android uslugu pristupačnosti za čitanje svega na ekranu i daljinsko upravljanje uređajem pomoću VNC sesija.
Distribuira se kao zlonamjerni APK koji se maskira kao poznate aplikacije (npr. Google Chrome) i prvenstveno cilja banke u centralnoj i južnoj Evropi.
Koristi šifriranu komunikaciju (HTTPS, RSA, AES, WebSocket) i zahtijeva administratorske privilegije kako bi ostao postojan, što otežava njegovo uklanjanje.

Un Novi bankarski trojanac za Android zvani Sturnus uključio je alarmi u evropskom sektoru kibernetičke sigurnostiOvaj zlonamjerni softver nije dizajniran samo za krađu financijskih podataka, već i sposoban za čitanje razgovora putem WhatsAppa, Telegrama i Signala i preuzeti gotovo potpunu kontrolu nad zaraženim uređajem.

Prijetnja, koju su identificirali istraživači iz ThreatFabric i analitičari koje je naveo BleepingComputer, još uvijek su u rana faza implementacijeali to već pokazuje neuobičajen nivo sofisticiranostiIako su do sada otkrivene kampanje ograničene, stručnjaci se boje da su to testovi prije veće ofanzive protiv korisnika Mobilno bankarstvo u centralnoj i južnoj Evropi.

Šta je Sturnus i zašto izaziva toliku zabrinutost?

Sturnus banke zlonamjernog softvera

Sturnus je bankarski trojanac za Android. koji kombinuje nekoliko opasnih mogućnosti u jednom paketu: krađu finansijskih podataka, špijuniranje aplikacija za šifrirane poruke i daljinsko upravljanje telefonom pomoću naprednih tehnika pristupačnosti.

Prema tehničkoj analizi koju je objavio ThreatFabricZlonamjerni softver je razvila i njime upravlja privatna kompanija s očito profesionalnim pristupom. Iako se čini da se kod i infrastruktura još uvijek razvijaju, analizirani uzorci su... potpuno funkcionalan, što ukazuje na to da Napadači već testiraju trojanca na stvarnim žrtvama..

Istraživači navode da su, za sada, detektovane mete koncentrisane u klijenti evropskih finansijskih institucijaposebno u centralnim i južnim dijelovima kontinenta. Ovaj fokus je evidentan u lažni šabloni i ekrani integriran u zlonamjerni softver, posebno dizajniran da imitira izgled lokalnih bankarskih aplikacija.

Ekskluzivni sadržaj - kliknite ovdje Kako loviti mobitel

Ova kombinacija od regionalni fokus, visoka tehnička sofisticiranost i faza testiranja Zbog toga Sturnus izgleda kao nova prijetnja s potencijalom rasta, slično prethodnim kampanjama bankarskih trojanaca koje su započele diskretno, a na kraju su zarazile hiljade uređaja.

Kako se širi: lažne aplikacije i tajne kampanje

nevidljivi zlonamjerni softver

Distribucija Sturnus se oslanja na zlonamjerne APK datoteke koje se maskiraju kao legitimne i popularne aplikacije. Istraživači identificirali su pakete koji imitiraju, između ostalih, u Google Chrome (sa zamućenim nazivima paketa kao što je com.klivkfbky.izaybebnx) ili naizgled bezopasne aplikacije poput Kutija za prethodno miješanje (com.uvxuthoq.noscjahae).

Iako tačna metoda difuzije Još nije sa sigurnošću utvrđeno, ali dokazi ukazuju na kampanje phishing i zlonamjerni oglasikao i privatne poruke poslane putem platformi za razmjenu poruka. Ove poruke preusmjeravaju na lažne web stranice gdje se korisnik poziva da preuzme navodna ažuriranja ili uslužne programe koji su u stvarnosti instalacijski program za trojanca.

Nakon što žrtva instalira lažnu aplikaciju, Sturnus traži Dozvole za pristup i, u mnogim slučajevima, privilegije administratora uređajaOvi zahtjevi su prikriveni kao naizgled legitimne poruke, tvrdeći da su neophodni za pružanje naprednih funkcija ili poboljšanje performansi. Kada korisnik odobri ove kritične dozvole, zlonamjerni softver dobija mogućnost da vidjeti sve što se događa na ekranuInterakcija s interfejsom i sprječavanje njegove deinstalacije putem uobičajenih kanala je ključna, stoga je ključno znati kako ukloniti zlonamjerni softver sa androida.

Krađa bankarskih podataka putem prekrivajućih ekrana

Generički prikaz zlonamjernog softvera Sturnus na Androidu

Jedna od Sturnusovih klasičnih, ali i dalje vrlo efikasnih funkcija je upotreba napadi preko kojih se vrši preklapanje za krađu bankovnih podataka. Ova tehnika uključuje prikazivanje lažni ekrani preko legitimnih aplikacija, vjerno oponašajući interfejs bankarske aplikacije žrtve.

Kada korisnik otvori svoju bankarsku aplikaciju, trojanac detektuje događaj i prikazuje lažni prozor za prijavu ili verifikaciju, tražeći korisničko ime, lozinka, PIN ili podaci o karticiZa pogođenu osobu, iskustvo izgleda potpuno normalno: vizualni izgled replicira logotipe, boje i tekstove stvarne banke.

Ekskluzivni sadržaj - kliknite ovdje Kako aktivirati verifikaciju u 2 koraka u HiDrive-u?

Čim žrtva unese podatke, Sturnus šalje akreditive serveru napadača koristeći šifrirane kanale. Ubrzo nakon toga, može zatvoriti lažni ekran i vratiti kontrolu pravoj aplikaciji, tako da korisnik jedva primjećuje malo kašnjenje ili čudno ponašanje, koje često prođe nezapaženo. Nakon takve krađe, ključno je Provjerite da li vam je bankovni račun hakiran.

Osim toga, Trojanac je sposoban snimaj pritiske tipki i ponašanja unutar drugih osjetljivih aplikacija, što proširuje vrstu informacija koje može ukrasti: od lozinki za pristup online uslugama do verifikacijskih kodova poslanih SMS-om ili porukama iz aplikacija za autentifikaciju.

Kako špijunirati poruke na WhatsAppu, Telegramu i Signalu bez probijanja enkripcije

Najuznemirujući aspekt Sturnusa je njegova sposobnost da čitanje poruka u razgovorima koji koriste end-to-end enkripcijukao što su WhatsApp, Telegram (u svojim šifriranim chatovima) ili Signal. Na prvi pogled, može se činiti da je zlonamjerni softver uspio kompromitirati kriptografske algoritme, ali stvarnost je suptilnija i zabrinjavajuća.

Umjesto napada na prenos poruka, Sturnus koristi Android uslugu pristupačnosti da prati aplikacije prikazane u prvom planu. Kada otkrije da korisnik otvori jednu od ovih aplikacija za razmjenu poruka, trojanac jednostavno... direktno čitati sadržaj koji se pojavljuje na ekranu.

Drugim riječima, ne narušava enkripciju tokom prenosa: sačekajte da sama aplikacija dešifrira poruke i prikazati ih korisniku. U tom trenutku, zlonamjerni softver može pristupiti tekstu, imenima kontakata, nitima razgovora, dolaznim i odlaznim porukama, pa čak i drugim detaljima prisutnim u interfejsu.

Ovaj pristup omogućava Sturnusu potpuno zaobiđite zaštitu end-to-end enkripcije bez potrebe za probijanjem sa matematičke tačke gledišta. Za napadače, telefon djeluje kao otvoreni prozor koji otkriva informacije koje bi, teoretski, trebale ostati privatne čak i od posrednika i pružatelja usluga.

Ekskluzivni sadržaj - kliknite ovdje Šta treba učiniti u borbi protiv mafije?

Zaštitne mjere za korisnike Androida u Španiji i Evropi

mobilna sigurnost

Suočeni s prijetnjama poput Sturnusa, Stručnjaci za sigurnost preporučuju jačanje nekoliko osnovnih navika u svakodnevnoj upotrebi mobilnog telefona:

Izbjegavajte instaliranje APK datoteka nabavljene izvan službene Google trgovine, osim ako ne potiču iz potpuno provjerenih i strogo neophodnih izvora.
Pažljivo pregledajte dozvole koje zahtijevaju aplikacijeSvaka aplikacija koja zahtijeva pristup Usluzi pristupačnosti bez vrlo jasnog razloga trebala bi biti znak za uzbunu.
Budite oprezni sa zahtjevima od privilegije administratora uređajakoji u većini slučajeva nisu neophodni za normalno funkcionisanje standardne aplikacije.
Zadržite Google Play Protect i druga sigurnosna rješenja Redovno ažurirajte operativni sistem i instalirane aplikacije, te periodično pregledajte listu aplikacija s osjetljivim dozvolama.
Budite pažljivi na čudna ponašanja (sumnjivi bankovni ekrani, neočekivani zahtjevi za akreditaciju, iznenadna usporavanja) i odmah reagirajte na bilo koji znak upozorenja.

U slučaju sumnje na infekciju, jedan od mogućih odgovora je ručno opozovite administratorske i pristupne privilegije Iz postavki sistema deinstalirajte sve nepoznate aplikacije. Ako uređaj nastavi pokazivati simptome, možda će biti potrebno napraviti sigurnosnu kopiju bitnih podataka i izvršiti fabričko vraćanje, vraćajući samo ono što je apsolutno neophodno.

Pojava Sturnusa potvrđuje da je Android ekosistem ostaje prioritetni cilj Ovaj trojanac, dizajniran za kriminalne grupe s resursima i finansijskom motivacijom, kombinuje krađu banaka, špijunažu šifriranim porukama i daljinsko upravljanje u jednom paketu. Koristi dozvole za pristup i šifrirane komunikacijske kanale za prikriveno djelovanje. U kontekstu u kojem se sve više korisnika u Španiji i Evropi oslanja na svoje mobilne telefone za upravljanje novcem i privatnom komunikacijom, budnost i usvajanje dobrih digitalnih praksi postaje ključno kako bi se izbjeglo da postanete žrtva sličnih prijetnji.

Kako otkriti da li vaš Android telefon ima špijunski softver i ukloniti ga korak po korak

Vezani članak:

Otkrivanje i uklanjanje špijunskog softvera na Androidu: vodič korak po korak

Alberto navarro

Ja sam tehnološki entuzijasta koji je svoja "geek" interesovanja pretvorio u profesiju. Proveo sam više od 10 godina svog života koristeći najsavremeniju tehnologiju i petljajući po svim vrstama programa iz čiste radoznalosti. Sada sam se specijalizirao za kompjutersku tehnologiju i video igrice. To je zato što više od 5 godina pišem za razne web stranice o tehnologiji i video igricama, stvarajući članke koji nastoje dati vam potrebne informacije na jeziku koji je svima razumljiv.

Ako imate bilo kakvih pitanja, moje znanje seže od svega vezanog za Windows operativni sistem kao i Android za mobilne telefone. I moja posvećenost je vama, uvijek sam spreman potrošiti nekoliko minuta i pomoći vam da riješite sva pitanja koja imate u ovom svijetu interneta.