- Mae Sturnus yn Trojan bancio ar gyfer Android sy'n dwyn manylion mewngofnodi ac yn rhyng-gipio negeseuon o apiau wedi'u hamgryptio fel WhatsApp, Telegram, a Signal.
- Mae'n camddefnyddio Gwasanaeth Hygyrchedd Android i ddarllen popeth ar y sgrin a rheoli'r ddyfais o bell gan ddefnyddio sesiynau tebyg i VNC.
- Fe'i dosbarthir fel APK maleisus sy'n esgus bod yn apiau adnabyddus (e.e., Google Chrome) ac yn targedu banciau yng Nghanolbarth a De Ewrop yn bennaf.
- Mae'n defnyddio cyfathrebiadau wedi'u hamgryptio (HTTPS, RSA, AES, WebSocket) ac yn gofyn am freintiau gweinyddwr i aros yn barhaol a chymhlethu ei ddileu.
Un Trojan bancio newydd ar gyfer Android o'r enw Sturnus wedi troi ymlaen y larymau yn y sector seiberddiogelwch EwropeaiddNid yn unig y mae'r meddalwedd faleisus hwn wedi'i gynllunio i ddwyn manylion mewngofnodi ariannol, ond mae hefyd yn gallu darllen sgyrsiau WhatsApp, Telegram, a Signal a chymryd rheolaeth bron yn llwyr dros y ddyfais heintiedig.
Y bygythiad, a nodwyd gan ymchwilwyr ThreatFabric a dadansoddwyr a ddyfynnwyd gan BleepingComputer, yn dal i fod mewn cyfnod defnyddio cynnarond mae eisoes yn dangos lefel anarferol o soffistigedigrwyddEr bod yr ymgyrchoedd a ganfuwyd hyd yn hyn yn gyfyngedig, mae arbenigwyr yn ofni eu bod yn brofion cyn ymosodiad ar raddfa fwy yn erbyn defnyddwyr Bancio symudol yng Nghanolbarth a De Ewrop.
Beth yw Sturnus a pham mae'n achosi cymaint o bryder?
Trojan bancio ar gyfer Android yw Sturnus sy'n cyfuno sawl gallu peryglus mewn un pecyn: dwyn manylion mewngofnodi ariannol, ysbïo ar apiau negeseuon wedi'u hamgryptio, a rheoli'r ffôn o bell gan ddefnyddio technegau hygyrchedd uwch.
Yn ôl y dadansoddiad technegol a gyhoeddwyd gan ThreatFabricMae'r meddalwedd faleisus wedi'i ddatblygu a'i weithredu gan gwmni preifat sydd â dull proffesiynol amlwg. Er bod y cod a'r seilwaith yn dal i ymddangos fel pe baent yn esblygu, mae'r samplau a ddadansoddwyd yn gwbl weithredol, sy'n dangos bod Mae'r ymosodwyr eisoes yn profi'r Trojan ar ddioddefwyr go iawn..
Mae'r ymchwilwyr yn nodi, ar hyn o bryd, fod y targedau a ganfuwyd wedi'u crynhoi yn cleientiaid sefydliadau ariannol Ewropeaiddyn enwedig yng nghanol a deheuol y cyfandir. Mae'r ffocws hwn yn amlwg yn y templedi a sgriniau ffug wedi'i integreiddio i'r meddalwedd faleisus, wedi'i gynllunio'n benodol i efelychu ymddangosiad cymwysiadau bancio lleol.
Mae'r cyfuniad hwn o ffocws rhanbarthol, soffistigedigrwydd technegol uchel a chyfnod profi Mae hyn yn gwneud i Sturnus ymddangos fel bygythiad sy'n dod i'r amlwg gyda photensial twf, yn debyg i ymgyrchoedd Trojan bancio blaenorol a ddechreuodd yn ddisylw ac a effeithiodd ar filoedd o ddyfeisiau yn y diwedd.
Sut mae'n lledaenu: apiau ffug ac ymgyrchoedd cudd
Dosbarthiad Mae Sturnus yn dibynnu ar ffeiliau APK maleisus sy'n cuddio bod yn apiau cyfreithlon a phoblogaidd. Yr ymchwilwyr wedi nodi pecynnau sy'n dynwared, ymysg eraill, i Google Chrome (gyda enwau pecynnau wedi'u drysu fel com.klivkfbky.izaybebnx) neu apiau sy'n ymddangos yn ddiniwed fel Blwch Preemix (com.uvxuthoq.noscjahae).
Er bod y dull trylediad union Nid yw wedi'i bennu'n sicr eto, ond mae'r dystiolaeth yn awgrymu ymgyrchoedd o gwe-rwydo a hysbysebion maleisusyn ogystal â negeseuon preifat a anfonir trwy lwyfannau negeseuon. Mae'r negeseuon hyn yn ailgyfeirio i wefannau twyllodrus lle gwahoddir y defnyddiwr i lawrlwytho diweddariadau neu gyfleustodau honedig sydd, mewn gwirionedd, yn osodwr y Trojan.
Unwaith y bydd y dioddefwr yn gosod y rhaglen dwyllodrus, mae Sturnus yn gofyn Caniatadau hygyrchedd ac, mewn llawer o achosion, breintiau gweinyddwr dyfaisMae'r ceisiadau hyn wedi'u cuddio fel negeseuon sy'n ymddangos yn gyfreithlon, gan honni eu bod yn angenrheidiol i ddarparu nodweddion uwch neu wella perfformiad. Pan fydd y defnyddiwr yn rhoi'r caniatâd hanfodol hyn, mae'r meddalwedd faleisus yn ennill y gallu i gweld popeth sy'n digwydd ar y sgrinmae rhyngweithio â'r rhyngwyneb ac atal ei ddadosod trwy'r sianeli arferol yn allweddol, felly mae'n hanfodol gwybod sut i gael gwared ar malware o android.
Lladrad manylion mewngofnodi banc trwy sgriniau gorchudd
Un o swyddogaethau clasurol Sturnus, ond sy'n dal yn effeithiol iawn, yw'r defnydd o ymosodiadau gorchudd i ddwyn data bancio. Mae'r dechneg hon yn cynnwys dangos sgriniau ffug dros apiau cyfreithlon, gan efelychu rhyngwyneb ap banc y dioddefwr yn ffyddlon.
Pan fydd y defnyddiwr yn agor ei ap bancio, mae'r Trojan yn canfod y digwyddiad ac yn arddangos ffenestr mewngofnodi neu ddilysu ffug, gan ofyn enw defnyddiwr, cyfrinair, PIN neu fanylion cerdynI'r person yr effeithir arno, mae'r profiad yn ymddangos yn gwbl normal: mae'r ymddangosiad gweledol yn efelychu logos, lliwiau a thestunau'r banc go iawn.
Cyn gynted ag y bydd y dioddefwr yn nodi'r wybodaeth, Mae Sturnus yn anfon y manylion mewngofnodi at weinydd yr ymosodwyr gan ddefnyddio sianeli wedi'u hamgryptio. Yn fuan wedyn, gall gau'r sgrin dwyllodrus a dychwelyd rheolaeth i'r ap go iawn, felly prin y mae'r defnyddiwr yn sylwi ar oedi bach neu ymddygiad rhyfedd, sy'n aml yn mynd heb i neb sylwi arno. Ar ôl lladrad o'r fath, mae'n hanfodol. Gwiriwch a yw eich cyfrif banc wedi cael ei hacio.
Yn ogystal, mae'r Trojan yn gallu recordio trawiadau allweddi ac ymddygiadau o fewn cymwysiadau sensitif eraill, sy'n ehangu'r math o wybodaeth y gall ei ddwyn: o gyfrineiriau i gael mynediad at wasanaethau ar-lein i godau dilysu a anfonir trwy SMS neu negeseuon o apiau dilysu.
Sut i ysbïo ar negeseuon WhatsApp, Telegram, a Signal heb dorri amgryptio
Yr agwedd fwyaf pryderus ar Sturnus yw ei allu i darllen sgyrsiau negeseuon sy'n defnyddio amgryptio o'r dechrau i'r diweddfel WhatsApp, Telegram (yn ei sgyrsiau wedi'u hamgryptio), neu Signal. Ar yr olwg gyntaf, efallai y bydd yn ymddangos bod y meddalwedd faleisus wedi llwyddo i beryglu'r algorithmau cryptograffig, ond mae'r realiti yn fwy cynnil a phryderus.
Yn lle ymosod ar drosglwyddo negeseuon, Mae Sturnus yn manteisio ar Wasanaeth Hygyrchedd Android i fonitro'r cymwysiadau a ddangosir yn y blaendir. Pan fydd yn canfod bod y defnyddiwr yn agor un o'r apiau negeseuon hyn, mae'r Trojan yn syml... darllenwch y cynnwys sy'n ymddangos ar y sgrin yn uniongyrchol.
Mewn geiriau eraill, nid yw'n torri'r amgryptio wrth ei gludo: aros i'r rhaglen ei hun ddadgryptio'r negeseuon a'u harddangos i'r defnyddiwr. Ar y foment honno, gall y meddalwedd faleisus gael mynediad at y testun, enwau cyswllt, edafedd sgwrsio, negeseuon sy'n dod i mewn ac allan, a hyd yn oed manylion eraill sy'n bresennol yn y rhyngwyneb.
Mae'r dull hwn yn caniatáu i Sturnus osgoi amddiffyniad amgryptio o'r dechrau i'r diwedd yn llwyr heb fod angen ei dorri o safbwynt mathemategol. I ymosodwyr, mae'r ffôn yn gweithredu fel ffenestr agored sy'n datgelu gwybodaeth a ddylai, mewn theori, aros yn breifat hyd yn oed rhag cyfryngwyr a darparwyr gwasanaeth.
Mesurau amddiffyn ar gyfer defnyddwyr Android yn Sbaen ac Ewrop
Yn wynebu bygythiadau fel Sturnus, y Mae arbenigwyr diogelwch yn argymell atgyfnerthu sawl arfer sylfaenol mewn defnydd dyddiol o ffôn symudol:
- Osgowch osod ffeiliau APK a gafwyd y tu allan i siop swyddogol Google, oni bai eu bod o ffynonellau wedi'u gwirio'n llawn ac yn gwbl angenrheidiol.
- Adolygwch yn ofalus y caniatâd a ofynnwyd amdano gan gymwysiadauDylai unrhyw ap sy'n gofyn am fynediad i'r Gwasanaeth Hygyrchedd heb reswm clir iawn godi baneri coch.
- Byddwch yn ofalus o geisiadau gan breintiau gweinyddwr dyfaisnad ydynt yn angenrheidiol yn y rhan fwyaf o achosion ar gyfer gweithrediad arferol ap safonol.
- Cadwch Google Play Protect ac atebion diogelwch eraill Diweddarwch y system weithredu a'r apiau sydd wedi'u gosod yn rheolaidd, ac adolygwch y rhestr o gymwysiadau sydd â chaniatâd sensitif yn rheolaidd.
- Byddwch yn sylwgar i ymddygiad rhyfedd (sgriniau banc amheus, ceisiadau annisgwyl am gredydau, arafwch sydyn) a gweithredu ar unwaith ar unrhyw arwydd rhybuddio.
Os amheuir bod haint, un ymateb posibl yw dirymu breintiau gweinyddwr a hygyrchedd â llaw O osodiadau'r system, dadosodwch unrhyw apiau anhysbys. Os yw'r ddyfais yn parhau i ddangos symptomau, efallai y bydd angen gwneud copi wrth gefn o ddata hanfodol a pherfformio ailosodiad ffatri, gan adfer dim ond yr hyn sy'n gwbl angenrheidiol.
Mae ymddangosiad Sturnus yn cadarnhau bod y Mae ecosystem Android yn parhau i fod yn darged blaenoriaeth Mae'r Trojan hwn, a gynlluniwyd ar gyfer grwpiau troseddol sydd ag adnoddau a chymhelliant ariannol, yn cyfuno lladrad banc, ysbïo negeseuon wedi'i amgryptio, a rheolaeth o bell mewn un pecyn. Mae'n manteisio ar ganiatâd hygyrchedd a sianeli cyfathrebu wedi'u hamgryptio i weithredu'n gudd. Mewn cyd-destun lle mae mwy a mwy o ddefnyddwyr yn Sbaen ac Ewrop yn dibynnu ar eu ffonau symudol i reoli eu harian a'u cyfathrebiadau preifat, mae aros yn wyliadwrus a mabwysiadu arferion digidol da yn hanfodol er mwyn osgoi dioddef bygythiadau tebyg.
Rwy'n frwd dros dechnoleg sydd wedi troi ei ddiddordebau "geek" yn broffesiwn. Rwyf wedi treulio mwy na 10 mlynedd o fy mywyd yn defnyddio technoleg flaengar ac yn tinkering gyda phob math o raglenni allan o chwilfrydedd pur. Nawr rydw i wedi arbenigo mewn technoleg gyfrifiadurol a gemau fideo. Mae hyn oherwydd ers mwy na 5 mlynedd rwyf wedi bod yn ysgrifennu ar gyfer gwefannau amrywiol ar dechnoleg a gemau fideo, gan greu erthyglau sy'n ceisio rhoi'r wybodaeth sydd ei hangen arnoch mewn iaith sy'n ddealladwy i bawb.
Os oes gennych unrhyw gwestiynau, mae fy ngwybodaeth yn amrywio o bopeth sy'n ymwneud â system weithredu Windows yn ogystal ag Android ar gyfer ffonau symudol. Ac mae fy ymrwymiad i chi, rwyf bob amser yn barod i dreulio ychydig funudau a'ch helpu i ddatrys unrhyw gwestiynau sydd gennych yn y byd rhyngrwyd hwn.