Trojan Sturnus: bankovní malware, který špehuje WhatsApp

Sturnus je bankovní trojan pro Android, který krade přihlašovací údaje a zachycuje zprávy ze šifrovaných aplikací, jako jsou WhatsApp, Telegram a Signal.
Zneužívá službu Android Accessibility Service k přečtení všeho na obrazovce a vzdálenému ovládání zařízení pomocí relací typu VNC.
Je distribuován jako škodlivý soubor APK, který se maskuje jako známé aplikace (např. Google Chrome) a primárně cílí na banky ve střední a jižní Evropě.
Používá šifrovanou komunikaci (HTTPS, RSA, AES, WebSocket) a pro trvalou funkčnost vyžaduje administrátorská oprávnění, což komplikuje jeho odstranění.

Un Nový bankovní trojan pro Android zvaný Sturnus zapnul/a alarmy v evropském sektoru kybernetické bezpečnostiTento malware není určen pouze k krádeži finančních údajů, ale také... schopný číst konverzace přes WhatsApp, Telegram a Signal a převzít téměř úplnou kontrolu nad infikovaným zařízením.

Hrozba, kterou identifikovali výzkumníci z ThreatFabric a analytici citovaní serverem BleepingComputer jsou stále ve fáze raného nasazeníale už to ukazuje, neobvyklá úroveň sofistikovanostiPřestože je počet dosud zjištěných kampaní omezený, odborníci se obávají, že se jedná o testy před rozsáhlejší ofenzívou proti uživatelům... Mobilní bankovnictví ve střední a jižní Evropě.

Co je Sturnus a proč vyvolává tolik obav?

Banky malwaru Sturnus

Sturnus je bankovní trojan pro Android který kombinuje několik nebezpečných schopností do jednoho balíčku: krádež finančních údajů, špehování šifrovaných aplikací pro zasílání zpráv a dálkové ovládání telefonu pomocí pokročilých technik přístupnosti.

Podle technické analýzy zveřejněné společností ThreatFabricMalware je vyvíjen a provozován soukromou společností s jasně profesionálním přístupem. Ačkoli se kód a infrastruktura stále vyvíjejí, analyzované vzorky jsou plně funkční, což naznačuje, že Útočníci již trojského koně testují na skutečných obětech..

Výzkumníci naznačují, že detekované cíle jsou prozatím soustředěny v klienti evropských finančních institucízejména v centrální a jižní části kontinentu. Toto zaměření je patrné v falešné šablony a obrazovky integrovaný do malwaru, speciálně navržený tak, aby napodoboval vzhled lokálních bankovních aplikací.

Exkluzivní obsah – klikněte zde Jak obnovit heslo Roblox

Tato kombinace regionální zaměření, vysoká technická sofistikovanost a testovací fáze Díky tomu se Sturnus jeví jako nově vznikající hrozba s růstovým potenciálem, podobně jako předchozí kampaně bankovních trojských koní, které začaly diskrétně a nakonec postihly tisíce zařízení.

Jak se šíří: falešné aplikace a tajné kampaně

neviditelný malware

Distribuce Sturnus se spoléhá na škodlivé soubory APK které se maskují jako legitimní a populární aplikace. Výzkumníci identifikovali balíčky, které napodobují, mezi ostatními, do Google Chrome (s obfuskovanými názvy balíčků jako com.klivkfbky.izaybebnx) nebo zdánlivě neškodné aplikace jako Předsměšovací box (com.uvxuthoq.noscjahae).

Ačkoli přesná difúzní metoda Zatím to nebylo s jistotou stanoveno, ale důkazy poukazují na kampaně phishing a škodlivé reklamya také soukromé zprávy odesílané prostřednictvím platforem pro zasílání zpráv. Tyto zprávy přesměrovávají uživatele na podvodné webové stránky, kde jsou vyzýváni ke stažení údajných aktualizací nebo nástrojů, které ve skutečnosti představují instalační program trojského koně.

Jakmile oběť nainstaluje podvodnou aplikaci, Sturnus požádá Oprávnění pro přístupnost a v mnoha případech oprávnění správce zařízeníTyto požadavky jsou maskované jako zdánlivě legitimní zprávy a tvrdí, že jsou nezbytné pro poskytování pokročilých funkcí nebo zlepšení výkonu. Když uživatel tato kritická oprávnění udělí, malware získá schopnost vidět vše, co se děje na obrazovceInterakce s rozhraním a zabránění jeho odinstalaci obvyklými kanály je klíčová, takže je nezbytné vědět jak odstranit malware z androidu.

Krádež bankovních údajů prostřednictvím překryvných obrazovek

Generická reprezentace malwaru Sturnus v systému Android

Jednou z klasických, ale stále velmi účinných funkcí Sturnuse je použití překryvné útoky k ukrást bankovní data. Tato technika zahrnuje ukázání falešné obrazovky přes legitimní aplikace, věrně napodobující rozhraní bankovní aplikace oběti.

Když uživatel otevře svou bankovní aplikaci, trojský kůň tuto událost detekuje a zobrazí falešné přihlašovací nebo ověřovací okno s požadavkem uživatelské jméno, heslo, PIN nebo údaje o kartěPro postiženou osobu se zážitek jeví jako zcela normální: vizuální vzhled kopíruje loga, barvy a texty skutečné banky.

Exkluzivní obsah – klikněte zde Jak zabezpečit svůj Facebook Messenger?

Jakmile oběť zadá informace, Sturnus odesílá přihlašovací údaje na server útočníků. pomocí šifrovaných kanálů. Krátce poté může zavřít podvodnou obrazovku a vrátit ovládání skutečné aplikaci, takže si uživatel sotva všimne mírného zpoždění nebo podivného chování, které často zůstane bez povšimnutí. Po takové krádeži je klíčové Zkontrolujte, zda váš bankovní účet nebyl napaden hackery.

Trojan je navíc schopen zaznamenávat stisky kláves a chování v rámci dalších citlivých aplikací, což rozšiřuje typ informací, které může ukrást: od hesel pro přístup k online službám až po ověřovací kódy odesílané prostřednictvím SMS nebo zpráv z ověřovacích aplikací.

Jak špehovat zprávy WhatsApp, Telegram a Signal bez prolomení šifrování

Nejznepokojivějším aspektem Sturnuse je jeho schopnost číst konverzace s použitím end-to-end šifrováníjako například WhatsApp, Telegram (v jeho šifrovaných chatech) nebo Signal. Na první pohled se může zdát, že se malwaru podařilo proniknout do kryptografických algoritmů, ale realita je rafinovanější a znepokojivější.

Místo útoku na přenos zpráv, Sturnus využívá službu Android Accessibility Service sledovat aplikace zobrazené v popředí. Když trojský kůň zjistí, že uživatel otevře jednu z těchto aplikací pro zasílání zpráv, jednoduše... číst přímo obsah, který se zobrazuje na obrazovce.

Jinými slovy, během přenosu se šifrování nenaruší: počkejte, až aplikace sama dešifruje zprávy a zobrazit je uživateli. V tu chvíli má malware přístup k textovým zprávám, jménům kontaktů, vláknům konverzací, příchozím a odchozím zprávám a dokonce i k dalším detailům přítomným v rozhraní.

Tento přístup umožňuje Sturnusovi zcela obejít ochranu end-to-end šifrováním aniž by bylo nutné jej prolomit z matematického hlediska. Pro útočníky telefon funguje jako otevřené okno, které odhaluje informace, jež by teoreticky měly zůstat soukromé i před zprostředkovateli a poskytovateli služeb.

Exkluzivní obsah – klikněte zde Inteligentní ovládání aplikací ve Windows: Jak chrání váš počítač a co potřebujete vědět

Ochranná opatření pro uživatele Androidu ve Španělsku a Evropě

mobilní zabezpečení

Tváří v tvář hrozbám, jako byl Sturnus, Bezpečnostní experti doporučují posilovat několik základních návyků při každodenním používání mobilního telefonu:

Vyhněte se instalaci souborů APK získané mimo oficiální obchod Google, pokud nepocházejí z plně ověřených a nezbytně nutných zdrojů.
Pečlivě si projděte oprávnění požadovaná aplikacemiJakákoli aplikace, která požaduje přístup ke službě usnadnění přístupu bez zcela jasného důvodu, by měla být varovným signálem.
Buďte opatrní na požadavky od oprávnění správce zařízeníkteré ve většině případů nejsou nezbytné pro normální fungování standardní aplikace.
Udržujte Google Play Protect a další bezpečnostní řešení Pravidelně aktivně aktualizujte operační systém a nainstalované aplikace a pravidelně kontrolujte seznam aplikací s citlivými oprávněními.
být pozorný k podivné chování (podezřelé bankovní obrazovky, neočekávané žádosti o přihlašovací údaje, náhlé zpomalení) a okamžitě jednat při jakémkoli varovném signálu.

V případě podezření na infekci je jednou z možných reakcí ručně odebrat oprávnění správce a přístupnost V nastavení systému odinstalujte všechny neznámé aplikace. Pokud zařízení nadále vykazuje příznaky, může být nutné zálohovat důležitá data a provést obnovení továrního nastavení, přičemž obnovíte pouze to, co je nezbytně nutné.

Vzhled Sturnuse potvrzuje, že Ekosystém Androidu zůstává prioritním cílem Tento trojský kůň, určený pro zločinecké skupiny s dostatečnými zdroji a finanční motivací, kombinuje bankovní krádeže, špionáž šifrovaných zpráv a dálkové ovládání v jednom balíčku. Využívá oprávnění k přístupu a šifrované komunikační kanály k nenápadnému provozu. V kontextu, kdy se stále více uživatelů ve Španělsku a Evropě spoléhá na své mobilní telefony ke správě svých peněz a soukromé komunikace, je ostražitá ostražitost a dodržování osvědčených digitálních postupů klíčové, aby se vyhnuli tomu, že se stanou obětí podobných hrozeb.

Jak zjistit, zda váš telefon s Androidem obsahuje spyware, a jak ho krok za krokem odstranit

Související článek:

Detekce a odstranění spywaru v systému Android: podrobný návod

Alberto navarro

Jsem technologický nadšenec, který ze svých „geekovských“ zájmů udělal profesi. Strávil jsem více než 10 let svého života používáním nejmodernějších technologií a vrtáním se všemi druhy programů z čisté zvědavosti. Nyní se specializuji na počítačovou techniku a videohry. Je to proto, že již více než 5 let píšu pro různé webové stránky o technologiích a videohrách a tvořím články, které se vám snaží poskytnout informace, které potřebujete, v jazyce, který je srozumitelný všem.

Pokud máte nějaké dotazy, mé znalosti sahají od všeho, co se týká operačního systému Windows a také Androidu pro mobilní telefony. A můj závazek je vůči vám, jsem vždy ochoten strávit pár minut a pomoci vám vyřešit jakékoli otázky, které můžete mít v tomto internetovém světě.