Sturnus Trojan: το τραπεζικό κακόβουλο λογισμικό που κατασκοπεύει το WhatsApp

Το Sturnus είναι ένα τραπεζικό trojan για Android που κλέβει διαπιστευτήρια και υποκλέπτει μηνύματα από κρυπτογραφημένες εφαρμογές όπως το WhatsApp, το Telegram και το Signal.
Κάνει κατάχρηση της Υπηρεσίας Προσβασιμότητας Android για να διαβάζει τα πάντα στην οθόνη και να ελέγχει τη συσκευή από απόσταση χρησιμοποιώντας συνεδρίες τύπου VNC.
Διανέμεται ως κακόβουλο APK που μεταμφιέζεται σε γνωστές εφαρμογές (π.χ. Google Chrome) και στοχεύει κυρίως τράπεζες στην Κεντρική και Νότια Ευρώπη.
Χρησιμοποιεί κρυπτογραφημένες επικοινωνίες (HTTPS, RSA, AES, WebSocket) και ζητά δικαιώματα διαχειριστή για να παραμείνει μόνιμα και να περιπλέξει την αφαίρεσή του.

Un Νέο τραπεζικό Trojan για Android που ονομάζεται Στούρνος έχει ενεργοποιήσει το συναγερμοί στον ευρωπαϊκό τομέα της κυβερνοασφάλειαςΑυτό το κακόβουλο λογισμικό δεν έχει σχεδιαστεί μόνο για να κλέβει οικονομικά στοιχεία, αλλά είναι επίσης... ικανό να διαβάζει συνομιλίες WhatsApp, Telegram και Signal και να αναλάβουν σχεδόν τον πλήρη έλεγχο της μολυσμένης συσκευής.

Η απειλή, όπως την εντόπισαν οι ερευνητές ThreatFabric και οι αναλυτές που αναφέρει το BleepingComputer, εξακολουθούν να βρίσκονται σε πρώιμη φάση ανάπτυξηςαλλά ήδη καταδεικνύει μια ασυνήθιστο επίπεδο πολυπλοκότηταςΑν και οι καμπάνιες που εντοπίστηκαν μέχρι στιγμής είναι περιορισμένες, οι ειδικοί φοβούνται ότι πρόκειται για δοκιμές πριν από μια επίθεση μεγαλύτερης κλίμακας κατά των χρηστών του... Κινητή τραπεζική στην Κεντρική και Νότια Ευρώπη.

Τι είναι το Sturnus και γιατί προκαλεί τόση ανησυχία;

Τράπεζες κακόβουλου λογισμικού Sturnus

Το Sturnus είναι ένα τραπεζικό trojan για Android το οποίο συνδυάζει αρκετές επικίνδυνες δυνατότητες σε ένα μόνο πακέτο: κλοπή οικονομικών διαπιστευτηρίων, κατασκοπεία σε εφαρμογές κρυπτογραφημένων μηνυμάτων και τηλεχειρισμό του τηλεφώνου χρησιμοποιώντας προηγμένες τεχνικές προσβασιμότητας.

Σύμφωνα με την τεχνική ανάλυση που δημοσιεύτηκε από ThreatFabricΤο κακόβουλο λογισμικό αναπτύσσεται και λειτουργεί από μια ιδιωτική εταιρεία με σαφώς επαγγελματική προσέγγιση. Παρόλο που ο κώδικας και η υποδομή φαίνεται να εξελίσσονται ακόμη, τα δείγματα που αναλύθηκαν είναι πλήρως λειτουργικό, το οποίο υποδεικνύει ότι Οι επιτιθέμενοι δοκιμάζουν ήδη το Trojan σε πραγματικά θύματα..

Οι ερευνητές υποδεικνύουν ότι, προς το παρόν, οι ανιχνευμένοι στόχοι επικεντρώνονται σε πελάτες ευρωπαϊκών χρηματοπιστωτικών ιδρυμάτωνιδιαίτερα στα κεντρικά και νότια τμήματα της ηπείρου. Αυτή η εστίαση είναι εμφανής στο ψεύτικα πρότυπα και οθόνες ενσωματωμένο στο κακόβουλο λογισμικό, ειδικά σχεδιασμένο για να μιμείται την εμφάνιση τοπικών τραπεζικών εφαρμογών.

Αποκλειστικό περιεχόμενο - Κάντε κλικ εδώ Πώς να αφαιρέσετε το spyware από το λογισμικό υποκλοπής spyware

Αυτός ο συνδυασμός των περιφερειακή εστίαση, υψηλή τεχνική πολυπλοκότητα και φάση δοκιμών Αυτό κάνει το Sturnus να μοιάζει με μια αναδυόμενη απειλή με δυνατότητες ανάπτυξης, παρόμοια με προηγούμενες εκστρατείες τραπεζικών trojan που ξεκίνησαν διακριτικά και κατέληξαν να επηρεάσουν χιλιάδες συσκευές.

Πώς εξαπλώνεται: ψεύτικες εφαρμογές και μυστικές καμπάνιες

αόρατο κακόβουλο λογισμικό

Η διανομή του Το Sturnus βασίζεται σε κακόβουλα αρχεία APK που παρουσιάζονται ως νόμιμες και δημοφιλείς εφαρμογές. Οι ερευνητές έχουν εντοπίσει πακέτα που μιμούνται, μεταξύ άλλων, στο Google Chrome (με ασαφή ονόματα πακέτων όπως com.klivkfbky.izaybebnx) ή φαινομενικά ακίνδυνες εφαρμογές όπως Κουτί προμίγματος (com.uvxuthoq.noscjahae).

Αν και το μέθοδος ακριβούς διάχυσης Δεν έχει ακόμη προσδιοριστεί με βεβαιότητα, αλλά τα στοιχεία υποδεικνύουν εκστρατείες ηλεκτρονικό ψάρεμα (phishing) και κακόβουλες διαφημίσειςκαθώς και ιδιωτικά μηνύματα που αποστέλλονται μέσω πλατφορμών ανταλλαγής μηνυμάτων. Αυτά τα μηνύματα ανακατευθύνουν σε δόλιες ιστοσελίδες όπου ο χρήστης καλείται να κατεβάσει υποτιθέμενες ενημερώσεις ή βοηθητικά προγράμματα που, στην πραγματικότητα, είναι το πρόγραμμα εγκατάστασης του Trojan.

Μόλις το θύμα εγκαταστήσει την δόλια εφαρμογή, ο Sturnus ζητά Δικαιώματα προσβασιμότητας και σε πολλές περιπτώσεις, δικαιώματα διαχειριστή συσκευήςΑυτά τα αιτήματα μεταμφιέζονται σε φαινομενικά νόμιμα μηνύματα, ισχυριζόμενα ότι είναι απαραίτητα για την παροχή προηγμένων λειτουργιών ή τη βελτίωση της απόδοσης. Όταν ο χρήστης παραχωρεί αυτά τα κρίσιμα δικαιώματα, το κακόβουλο λογισμικό αποκτά τη δυνατότητα να δείτε όλα όσα συμβαίνουν στην οθόνηη αλληλεπίδραση με τη διεπαφή και η αποτροπή της απεγκατάστασής της μέσω των συνήθων καναλιών είναι το κλειδί, επομένως είναι σημαντικό να γνωρίζετε πώς να αφαιρέσετε κακόβουλο λογισμικό από το android.

Κλοπή τραπεζικών διαπιστευτηρίων μέσω επικαλυπτόμενων οθονών

Γενική αναπαράσταση του κακόβουλου λογισμικού Sturnus σε Android

Μία από τις κλασικές, αλλά και πολύ αποτελεσματικές, λειτουργίες του Sturnus είναι η χρήση του επιθέσεις επικάλυψης για να κλέψουν τραπεζικά δεδομένα. Αυτή η τεχνική περιλαμβάνει την επίδειξη ψεύτικες οθόνες πάνω από νόμιμες εφαρμογές, μιμούμενο πιστά τη διεπαφή της τραπεζικής εφαρμογής του θύματος.

Όταν ο χρήστης ανοίγει την τραπεζική του εφαρμογή, το Trojan ανιχνεύει το συμβάν και εμφανίζει ένα παράθυρο ψεύτικης σύνδεσης ή επαλήθευσης, ζητώντας όνομα χρήστη, κωδικός πρόσβασης, PIN ή στοιχεία κάρταςΓια το άτομο που επηρεάζεται, η εμπειρία φαίνεται απολύτως φυσιολογική: η οπτική εμφάνιση αναπαράγει τα λογότυπα, τα χρώματα και τα κείμενα της πραγματικής τράπεζας.

Αποκλειστικό περιεχόμενο - Κάντε κλικ εδώ Πώς μπορώ να αναφέρω κάποιον στο Liberapay;

Μόλις το θύμα εισάγει τις πληροφορίες, Ο Sturnus στέλνει τα διαπιστευτήρια στον διακομιστή των εισβολέων χρησιμοποιώντας κρυπτογραφημένα κανάλια. Λίγο αργότερα, μπορεί να κλείσει την οθόνη απάτης και να επιστρέψει τον έλεγχο στην πραγματική εφαρμογή, έτσι ώστε ο χρήστης να μην παρατηρεί σχεδόν καθόλου μια μικρή καθυστέρηση ή μια παράξενη συμπεριφορά, η οποία συχνά περνά απαρατήρητη. Μετά από μια τέτοια κλοπή, είναι κρίσιμο Ελέγξτε αν ο τραπεζικός σας λογαριασμός έχει παραβιαστεί.

Επιπλέον, το Trojan είναι ικανό να καταγραφή πληκτρολογήσεων και συμπεριφορές εντός άλλων ευαίσθητων εφαρμογών, γεγονός που διευρύνει τον τύπο των πληροφοριών που μπορεί να κλέψει: από κωδικούς πρόσβασης για πρόσβαση σε διαδικτυακές υπηρεσίες έως κωδικούς επαλήθευσης που αποστέλλονται μέσω SMS ή μηνυμάτων από εφαρμογές ελέγχου ταυτότητας.

Πώς να κατασκοπεύετε μηνύματα WhatsApp, Telegram και Signal χωρίς να παραβιάσετε την κρυπτογράφηση

Η πιο ανησυχητική πτυχή του Sturnus είναι η ικανότητά του να ανάγνωση συνομιλιών ανταλλαγής μηνυμάτων που χρησιμοποιούν κρυπτογράφηση από άκρο σε άκροόπως το WhatsApp, το Telegram (στις κρυπτογραφημένες συνομιλίες του) ή το Signal. Με την πρώτη ματιά, μπορεί να φαίνεται ότι το κακόβουλο λογισμικό κατάφερε να παραβιάσει τους κρυπτογραφικούς αλγόριθμους, αλλά η πραγματικότητα είναι πιο λεπτή και ανησυχητική.

Αντί να επιτίθεται στη μετάδοση μηνυμάτων, Ο Sturnus αξιοποιεί την Υπηρεσία Προσβασιμότητας Android για να παρακολουθεί τις εφαρμογές που εμφανίζονται στο προσκήνιο. Όταν εντοπίσει ότι ο χρήστης ανοίγει μία από αυτές τις εφαρμογές ανταλλαγής μηνυμάτων, το Trojan απλώς... διαβάστε απευθείας το περιεχόμενο που εμφανίζεται στην οθόνη.

Με άλλα λόγια, δεν παραβιάζει την κρυπτογράφηση κατά τη μεταφορά: περιμένετε να αποκρυπτογραφήσει η ίδια η εφαρμογή τα μηνύματα και να τα εμφανίζει στον χρήστη. Εκείνη τη στιγμή, το κακόβουλο λογισμικό μπορεί να έχει πρόσβαση στο κείμενο, τα ονόματα επαφών, τα νήματα συνομιλιών, τα εισερχόμενα και εξερχόμενα μηνύματα, ακόμη και σε άλλες λεπτομέρειες που υπάρχουν στη διεπαφή.

Αυτή η προσέγγιση επιτρέπει στον Sturnus παρακάμπτοντας πλήρως την προστασία κρυπτογράφησης από άκρο σε άκρο χωρίς να χρειάζεται να το παραβιάσετε από μαθηματική άποψη. Για τους εισβολείς, το τηλέφωνο λειτουργεί ως ένα ανοιχτό παράθυρο που αποκαλύπτει πληροφορίες που, θεωρητικά, θα έπρεπε να παραμένουν ιδιωτικές ακόμη και από μεσάζοντες και παρόχους υπηρεσιών.

Αποκλειστικό περιεχόμενο - Κάντε κλικ εδώ Πώς να ενημερώσω το Antivirus μου

Μέτρα προστασίας για χρήστες Android στην Ισπανία και την Ευρώπη

ασφάλεια κινητών

Αντιμέτωποι με απειλές όπως ο Sturnus, ο Οι ειδικοί σε θέματα ασφάλειας συνιστούν την ενίσχυση αρκετών βασικών συνηθειών στην καθημερινή χρήση κινητού τηλεφώνου:

Αποφύγετε την εγκατάσταση αρχείων APK που λαμβάνονται εκτός του επίσημου καταστήματος της Google, εκτός εάν προέρχονται από πλήρως επαληθευμένες και απολύτως απαραίτητες πηγές.
Εξετάστε προσεκτικά το δικαιώματα που ζητούνται από εφαρμογέςΟποιαδήποτε εφαρμογή που ζητά πρόσβαση στην Υπηρεσία Προσβασιμότητας χωρίς πολύ σαφή λόγο θα πρέπει να σημάνει προειδοποιητικά σήματα.
Να είστε επιφυλακτικοί με τα αιτήματα από δικαιώματα διαχειριστή συσκευήςτα οποία στις περισσότερες περιπτώσεις δεν είναι απαραίτητα για την κανονική λειτουργία μιας τυπικής εφαρμογής.
Διατήρηση Google Play Protect και άλλες λύσεις ασφαλείας Ενημερώνετε ενεργά το λειτουργικό σύστημα και τις εγκατεστημένες εφαρμογές τακτικά και ελέγχετε περιοδικά τη λίστα εφαρμογών με ευαίσθητα δικαιώματα.
Να είστε προσεκτικοί παράξενη συμπεριφορά (ύποπτοι έλεγχοι τραπεζών, απροσδόκητα αιτήματα για διαπιστευτήρια, ξαφνικές επιβραδύνσεις) και να ενεργείτε αμέσως σε περίπτωση οποιουδήποτε προειδοποιητικού σημάδι.

Σε περίπτωση υποψίας λοίμωξης, μια πιθανή αντίδραση είναι χειροκίνητη ανάκληση δικαιωμάτων διαχειριστή και προσβασιμότητας Από τις ρυθμίσεις συστήματος, απεγκαταστήστε τυχόν άγνωστες εφαρμογές. Εάν η συσκευή εξακολουθεί να εμφανίζει συμπτώματα, ενδέχεται να χρειαστεί να δημιουργήσετε αντίγραφα ασφαλείας των απαραίτητων δεδομένων και να πραγματοποιήσετε επαναφορά εργοστασιακών ρυθμίσεων, επαναφέροντας μόνο ό,τι είναι απολύτως απαραίτητο.

Η εμφάνιση του Στούρνους επιβεβαιώνει ότι Το οικοσύστημα Android παραμένει στόχος προτεραιότητας Αυτό το Trojan, σχεδιασμένο για εγκληματικές ομάδες με πόρους και οικονομικά κίνητρα, συνδυάζει την κλοπή τραπεζών, την κατασκοπεία μέσω κρυπτογραφημένων μηνυμάτων και τον τηλεχειρισμό σε ένα ενιαίο πακέτο. Αξιοποιεί τα δικαιώματα προσβασιμότητας και τα κρυπτογραφημένα κανάλια επικοινωνίας για να λειτουργεί αθόρυβα. Σε ένα πλαίσιο όπου όλο και περισσότεροι χρήστες στην Ισπανία και την Ευρώπη βασίζονται στα κινητά τους τηλέφωνα για τη διαχείριση των χρημάτων και των ιδιωτικών τους επικοινωνιών, η επαγρύπνηση και η υιοθέτηση ορθών ψηφιακών πρακτικών καθίσταται ζωτικής σημασίας για να αποφευχθεί η πτώση θυμάτων παρόμοιων απειλών.

Πώς να εντοπίσετε εάν το τηλέφωνό σας Android έχει spyware και να το αφαιρέσετε βήμα προς βήμα

Σχετικό άρθρο:

Εντοπισμός και αφαίρεση spyware σε Android: οδηγός βήμα προς βήμα

Αλμπέρτο Ναβάρο

Είμαι λάτρης της τεχνολογίας που έχει μετατρέψει τα «γκικ» ενδιαφέροντά του σε επάγγελμα. Έχω περάσει περισσότερα από 10 χρόνια της ζωής μου χρησιμοποιώντας τεχνολογία αιχμής και ασχολούμαι με όλα τα είδη προγραμμάτων από καθαρή περιέργεια. Τώρα έχω ειδικευτεί στην τεχνολογία υπολογιστών και στα βιντεοπαιχνίδια. Αυτό οφείλεται στο γεγονός ότι για περισσότερα από 5 χρόνια εργάζομαι γράφοντας για διάφορους ιστότοπους σχετικά με την τεχνολογία και τα βιντεοπαιχνίδια, δημιουργώντας άρθρα που επιδιώκουν να σας δώσουν τις πληροφορίες που χρειάζεστε σε μια γλώσσα κατανοητή από όλους.

Αν έχετε απορίες, οι γνώσεις μου κυμαίνονται από οτιδήποτε σχετίζεται με το λειτουργικό σύστημα Windows καθώς και με Android για κινητά τηλέφωνα. Και η δέσμευσή μου είναι απέναντί σας, είμαι πάντα πρόθυμος να αφιερώσω λίγα λεπτά και να σας βοηθήσω να επιλύσετε τυχόν απορίες που μπορεί να έχετε σε αυτόν τον κόσμο του Διαδικτύου.