- Sturnus adalah trojan perbankan untuk Android yang mencuri kredensial dan menyadap pesan dari aplikasi terenkripsi seperti WhatsApp, Telegram, dan Signal.
- Ia menyalahgunakan Layanan Aksesibilitas Android untuk membaca semua yang ada di layar dan mengendalikan perangkat dari jarak jauh menggunakan sesi tipe VNC.
- Aplikasi ini didistribusikan sebagai APK berbahaya yang menyamar sebagai aplikasi terkenal (misalnya, Google Chrome) dan terutama menargetkan bank-bank di Eropa Tengah dan Selatan.
- Ia menggunakan komunikasi terenkripsi (HTTPS, RSA, AES, WebSocket) dan meminta hak istimewa administrator untuk tetap ada dan mempersulit penghapusannya.
Un Trojan perbankan baru untuk Android disebut Sturnus telah menyalakan alarm di sektor keamanan siber EropaMalware ini tidak hanya dirancang untuk mencuri kredensial keuangan, tetapi juga mampu membaca percakapan WhatsApp, Telegram, dan Signal dan mengambil kendali hampir penuh atas perangkat yang terinfeksi.
Ancaman yang diidentifikasi oleh para peneliti dari AncamanKain dan analis yang dikutip oleh BleepingComputer, masih dalam fase penyebaran awaltapi itu sudah menunjukkan tingkat kecanggihan yang tidak biasaMeskipun kampanye yang terdeteksi sejauh ini terbatas, para ahli khawatir bahwa kampanye ini merupakan uji coba sebelum serangan berskala lebih besar terhadap pengguna Perbankan seluler di Eropa Tengah dan Selatan.
Apa itu Sturnus dan mengapa menimbulkan begitu banyak kekhawatiran?
Sturnus adalah trojan perbankan untuk Android yang menggabungkan beberapa kemampuan berbahaya menjadi satu paket: pencurian kredensial keuangan, memata-matai aplikasi perpesanan terenkripsi, dan kendali jarak jauh telepon menggunakan teknik aksesibilitas canggih.
Menurut analisis teknis yang diterbitkan oleh AncamanKainMalware ini dikembangkan dan dioperasikan oleh perusahaan swasta dengan pendekatan yang jelas profesional. Meskipun kode dan infrastrukturnya masih tampak berkembang, sampel yang dianalisis berfungsi penuh, yang menunjukkan bahwa Para penyerang sudah menguji Trojan pada korban sungguhan..
Para peneliti menunjukkan bahwa, untuk saat ini, target yang terdeteksi terkonsentrasi di klien lembaga keuangan Eropaterutama di bagian tengah dan selatan benua. Fokus ini terlihat jelas dalam templat dan layar palsu terintegrasi ke dalam malware, yang dirancang khusus untuk meniru tampilan aplikasi perbankan lokal.
Kombinasi ini fokus regional, kecanggihan teknis tinggi dan fase pengujian Hal ini membuat Sturnus tampak seperti ancaman baru dengan potensi pertumbuhan, mirip dengan kampanye trojan perbankan sebelumnya yang dimulai secara diam-diam dan akhirnya memengaruhi ribuan perangkat.
Cara penyebarannya: aplikasi palsu dan kampanye rahasia
Distribusi Sturnus mengandalkan file APK berbahaya yang menyamar sebagai aplikasi yang sah dan populer. Para peneliti telah mengidentifikasi paket yang meniru, diantara yang lain, ke Google Chrome (dengan nama paket yang dikaburkan seperti com.klivkfbky.izaybebnx) atau aplikasi yang tampaknya tidak berbahaya seperti Kotak Preemix (com.uvxuthoq.noscjahae).
Meskipun metode difusi yang tepat Hal ini belum dapat dipastikan secara pasti, namun bukti-bukti menunjukkan adanya kampanye phishing dan iklan berbahayaserta pesan pribadi yang dikirim melalui platform perpesanan. Pesan-pesan ini mengarahkan pengguna ke situs web palsu yang mengundang mereka untuk mengunduh pembaruan atau utilitas yang sebenarnya merupakan penginstal Trojan.
Setelah korban memasang aplikasi palsu, Sturnus meminta Izin aksesibilitas dan, dalam banyak kasus, hak istimewa administrator perangkatPermintaan ini disamarkan sebagai pesan yang tampaknya sah, mengklaim bahwa permintaan tersebut diperlukan untuk menyediakan fitur-fitur canggih atau meningkatkan kinerja. Ketika pengguna memberikan izin penting ini, malware memperoleh kemampuan untuk melihat semua yang terjadi di layarberinteraksi dengan antarmuka dan mencegah penghapusan instalasinya melalui saluran biasa adalah kuncinya, jadi penting untuk mengetahui cara menghilangkan malware di android.
Pencurian kredensial perbankan melalui layar overlay
Salah satu fungsi klasik Sturnus, namun masih sangat efektif, adalah penggunaan serangan overlay untuk mencuri data perbankan. Teknik ini melibatkan menunjukkan layar palsu di atas aplikasi yang sah, meniru antarmuka aplikasi bank korban dengan tepat.
Ketika pengguna membuka aplikasi perbankan mereka, Trojan mendeteksi kejadian tersebut dan menampilkan jendela login atau verifikasi palsu, meminta nama pengguna, kata sandi, PIN atau detail kartuBagi orang yang terpengaruh, pengalaman tersebut tampak sepenuhnya normal: tampilan visual meniru logo, warna, dan teks bank sebenarnya.
Begitu korban memasukkan informasi, Sturnus mengirimkan kredensial ke server penyerang menggunakan saluran terenkripsi. Tak lama kemudian, ia dapat menutup layar palsu dan mengembalikan kendali ke aplikasi asli, sehingga pengguna hampir tidak menyadari sedikit penundaan atau perilaku aneh, yang seringkali luput dari perhatian. Setelah pencurian semacam itu, sangat penting Periksa apakah rekening bank Anda telah diretas.
Selain itu, Trojan juga mampu merekam penekanan tombol dan perilaku dalam aplikasi sensitif lainnya, yang memperluas jenis informasi yang dapat dicuri: dari kata sandi untuk mengakses layanan daring hingga kode verifikasi yang dikirim melalui SMS atau pesan dari aplikasi autentikasi.
Cara memata-matai pesan WhatsApp, Telegram, dan Signal tanpa merusak enkripsi
Aspek yang paling meresahkan dari Sturnus adalah kemampuannya untuk membaca percakapan pesan yang menggunakan enkripsi ujung ke ujungseperti WhatsApp, Telegram (dengan obrolan terenkripsi), atau Signal. Sekilas, malware ini mungkin tampak berhasil merusak algoritma kriptografi, tetapi kenyataannya lebih halus dan mengkhawatirkan.
Alih-alih menyerang transmisi pesan, Sturnus memanfaatkan Layanan Aksesibilitas Android untuk memantau aplikasi yang ditampilkan di latar depan. Ketika mendeteksi bahwa pengguna membuka salah satu aplikasi perpesanan ini, Trojan tersebut akan... membaca langsung konten yang muncul di layar.
Dengan kata lain, hal itu tidak merusak enkripsi saat transit: tunggu aplikasi itu sendiri untuk mendekripsi pesan dan menampilkannya kepada pengguna. Pada saat itu, malware dapat mengakses teks, nama kontak, rangkaian percakapan, pesan masuk dan keluar, dan bahkan detail lain yang ada di antarmuka.
Pendekatan ini memungkinkan Sturnus sepenuhnya melewati perlindungan enkripsi ujung ke ujung tanpa perlu merusaknya dari sudut pandang matematis. Bagi penyerang, ponsel bertindak sebagai jendela terbuka yang mengungkapkan informasi yang, secara teori, seharusnya tetap bersifat pribadi bahkan dari perantara dan penyedia layanan.
Langkah-langkah perlindungan untuk pengguna Android di Spanyol dan Eropa
Menghadapi ancaman seperti Sturnus, Para ahli keamanan merekomendasikan penguatan beberapa kebiasaan dasar dalam penggunaan telepon seluler sehari-hari:
- Hindari menginstal file APK diperoleh di luar toko Google resmi, kecuali jika berasal dari sumber yang sepenuhnya terverifikasi dan benar-benar diperlukan.
- Tinjau dengan cermat izin yang diminta oleh aplikasiAplikasi apa pun yang meminta akses ke Layanan Aksesibilitas tanpa alasan yang jelas harus menimbulkan tanda bahaya.
- Waspadalah terhadap permintaan dari hak istimewa administrator perangkatyang dalam banyak kasus tidak diperlukan untuk fungsi normal aplikasi standar.
- Simpan Google Play Protect dan solusi keamanan lainnya Perbarui sistem operasi dan aplikasi yang terinstal secara aktif secara berkala, dan tinjau daftar aplikasi dengan izin sensitif secara berkala.
- Berhati-hatilah perilaku aneh (penyaringan bank yang mencurigakan, permintaan kredensial yang tak terduga, pelambatan tiba-tiba) dan bertindak segera jika ada tanda peringatan.
Jika ada dugaan infeksi, salah satu kemungkinan responsnya adalah mencabut hak akses administrator dan hak akses secara manual Dari pengaturan sistem, hapus instalasi aplikasi yang tidak dikenal. Jika perangkat terus menunjukkan gejala, mungkin perlu mencadangkan data penting dan melakukan reset pabrik, memulihkan hanya data yang benar-benar diperlukan.
Munculnya Sturnus menegaskan bahwa Ekosistem Android tetap menjadi target prioritas Trojan ini, yang dirancang untuk kelompok kriminal dengan sumber daya dan motivasi finansial, menggabungkan pencurian bank, spionase pesan terenkripsi, dan kendali jarak jauh menjadi satu paket. Trojan ini memanfaatkan izin aksesibilitas dan saluran komunikasi terenkripsi untuk beroperasi secara diam-diam. Dalam konteks di mana semakin banyak pengguna di Spanyol dan Eropa mengandalkan ponsel mereka untuk mengelola keuangan dan komunikasi pribadi, tetap waspada dan menerapkan praktik digital yang baik menjadi krusial untuk menghindari menjadi korban ancaman serupa.
Saya seorang penggila teknologi yang telah mengubah minat "geek"-nya menjadi sebuah profesi. Saya telah menghabiskan lebih dari 10 tahun hidup saya menggunakan teknologi mutakhir dan mengutak-atik semua jenis program hanya karena rasa ingin tahu. Sekarang saya memiliki spesialisasi dalam teknologi komputer dan video game. Hal ini karena selama lebih dari 5 tahun saya telah menulis untuk berbagai website tentang teknologi dan video game, membuat artikel yang berupaya memberikan informasi yang Anda butuhkan dalam bahasa yang dapat dimengerti oleh semua orang.
Jika Anda memiliki pertanyaan, pengetahuan saya berkisar dari segala sesuatu yang berhubungan dengan sistem operasi Windows serta Android untuk ponsel. Dan komitmen saya adalah kepada Anda, saya selalu bersedia meluangkan beberapa menit dan membantu Anda menyelesaikan pertanyaan apa pun yang mungkin Anda miliki di dunia internet ini.