- Sturnus is een bankingtrojan voor Android die inloggegevens steelt en berichten onderschept van versleutelde apps zoals WhatsApp, Telegram en Signal.
- Hierbij wordt misbruik gemaakt van de Android-toegankelijkheidsservice om alles op het scherm te lezen en het apparaat op afstand te bedienen met behulp van VNC-sessies.
- Het wordt verspreid als een schadelijke APK die zich voordoet als bekende apps (bijvoorbeeld Google Chrome) en is voornamelijk gericht op banken in Centraal- en Zuid-Europa.
- Het maakt gebruik van gecodeerde communicatie (HTTPS, RSA, AES, WebSocket) en vereist beheerdersrechten om persistent te blijven en verwijdering ervan te compliceren.
Un Nieuwe banking-Trojan voor Android genaamd Sturnus heeft de alarmen in de Europese cybersecuritysectorDeze malware is niet alleen ontworpen om financiële gegevens te stelen, maar ook om in staat om WhatsApp-, Telegram- en Signal-gesprekken te lezen en nemen vrijwel volledige controle over het geïnfecteerde apparaat over.
De dreiging, geïdentificeerd door onderzoekers van ThreatFabric en analisten die door BleepingComputer worden aangehaald, bevinden zich nog steeds in een vroege implementatiefasemaar het toont al een ongebruikelijk niveau van verfijningHoewel de tot nu toe ontdekte campagnes beperkt zijn, vrezen deskundigen dat het tests zijn in de aanloop naar een grootschaliger offensief tegen gebruikers van Mobiel bankieren in Centraal- en Zuid-Europa.
Wat is Sturnus en waarom is er zoveel bezorgdheid over?
Sturnus is een bankingtrojan voor Android die verschillende gevaarlijke mogelijkheden in één pakket combineert: diefstal van financiële gegevens, spionage op versleutelde berichten-apps en bediening op afstand van de telefoon met behulp van geavanceerde toegankelijkheidstechnieken.
Volgens de technische analyse gepubliceerd door ThreatFabricDe malware wordt ontwikkeld en beheerd door een particulier bedrijf met een duidelijk professionele aanpak. Hoewel de code en infrastructuur nog steeds lijken te evolueren, zijn de geanalyseerde samples volledig functioneel, wat aangeeft dat De aanvallers testen de Trojan al op echte slachtoffers..
De onderzoekers geven aan dat de gedetecteerde doelen zich vooralsnog concentreren in klanten van Europese financiële instellingenvooral in het centrale en zuidelijke deel van het continent. Deze focus is duidelijk zichtbaar in de nep-sjablonen en schermen geïntegreerd in de malware, die specifiek is ontworpen om het uiterlijk van lokale banktoepassingen na te bootsen.
Deze combinatie van regionale focus, hoge technische verfijning en testfase Hierdoor lijkt Sturnus een opkomende bedreiging met groeipotentieel, vergelijkbaar met eerdere banking-trojancampagnes die onopvallend begonnen en uiteindelijk duizenden apparaten troffen.
Hoe het zich verspreidt: nep-apps en geheime campagnes
De verdeling van Sturnus vertrouwt op kwaadaardige APK-bestanden die zich voordoen als legitieme en populaire apps. De onderzoekers hebben pakketten geïdentificeerd die nabootsen, onder andere, naar Google Chrome (met verhulde pakketnamen zoals com.klivkfbky.izaybebnx) of schijnbaar onschuldige apps zoals Pre-mixbox (com.uvxuthoq.noscjahae).
Hoewel de exacte diffusiemethode Het is nog niet met zekerheid vastgesteld, maar het bewijsmateriaal wijst op campagnes van phishing en kwaadaardige advertentiesevenals privéberichten die via berichtenplatforms worden verzonden. Deze berichten worden doorverwezen naar frauduleuze websites waar de gebruiker wordt uitgenodigd om zogenaamde updates of hulpprogramma's te downloaden die in werkelijkheid de Trojan-installer zijn.
Zodra het slachtoffer de frauduleuze applicatie installeert, vraagt Sturnus om Toegankelijkheidsmachtigingen en in veel gevallen apparaatbeheerdersrechtenDeze verzoeken zijn vermomd als ogenschijnlijk legitieme berichten, die beweren dat ze nodig zijn om geavanceerde functies te bieden of de prestaties te verbeteren. Wanneer de gebruiker deze kritieke machtigingen verleent, krijgt de malware de mogelijkheid om zie alles wat er op het scherm gebeurtInteractie met de interface en het voorkomen van verwijdering via de gebruikelijke kanalen is essentieel, dus het is cruciaal om te weten hoe malware van Android te verwijderen.
Diefstal van bankgegevens via overlayschermen
Een van de klassieke, maar nog steeds zeer effectieve, functies van Sturnus is het gebruik van overlay-aanvallen om bankgegevens te stelen. Deze techniek houdt in dat je neppe schermen boven legitieme apps, waarbij de interface van de bank-app van het slachtoffer nauwkeurig wordt nagebootst.
Wanneer de gebruiker zijn bank-app opent, detecteert de Trojan de gebeurtenis en toont een vals inlog- of verificatievenster, waarin om een wachtwoord wordt gevraagd. gebruikersnaam, wachtwoord, pincode of kaartgegevensVoor de betrokkene voelt de ervaring volkomen normaal aan: de visuele weergave is identiek aan de logo's, kleuren en teksten van de echte bank.
Zodra het slachtoffer de informatie invoert, Sturnus stuurt de inloggegevens naar de server van de aanvallers via versleutelde kanalen. Kort daarna kan het het frauduleuze scherm sluiten en de controle teruggeven aan de echte app, zodat de gebruiker nauwelijks een lichte vertraging of vreemd gedrag opmerkt, wat vaak onopgemerkt blijft. Na zo'n diefstal is het cruciaal Controleer of uw bankrekening is gehackt.
Bovendien is de Trojan in staat om toetsaanslagen registreren en gedragingen binnen andere gevoelige applicaties, waardoor het soort informatie dat kan worden gestolen, wordt uitgebreid: van wachtwoorden voor toegang tot onlinediensten tot verificatiecodes die via sms worden verzonden of berichten van authenticatie-apps.
Hoe je WhatsApp-, Telegram- en Signal-berichten kunt bespioneren zonder de encryptie te breken
Het meest verontrustende aspect van Sturnus is zijn vermogen om lees berichtengesprekken die end-to-end-encryptie gebruikenzoals WhatsApp, Telegram (in de versleutelde chats) of Signal. Op het eerste gezicht lijkt het erop dat de malware erin is geslaagd de cryptografische algoritmes te kraken, maar de werkelijkheid is subtieler en zorgwekkender.
In plaats van de overdracht van berichten aan te vallen, Sturnus maakt gebruik van de Android-toegankelijkheidsservice om de apps die op de voorgrond worden weergegeven, te monitoren. Wanneer de Trojan detecteert dat de gebruiker een van deze berichten-apps opent,... lees direct de inhoud die op het scherm verschijnt.
Met andere woorden: de encryptie wordt tijdens de overdracht niet verbroken: wacht tot de applicatie zelf de berichten heeft gedecodeerd en deze aan de gebruiker tonen. Op dat moment heeft de malware toegang tot de tekst, contactnamen, gespreksthreads, inkomende en uitgaande berichten en zelfs andere details in de interface.
Deze aanpak maakt het mogelijk dat Sturnus omzeil volledig de end-to-end encryptiebeveiliging zonder dat het wiskundig gezien kapot hoeft te gaan. Voor aanvallers fungeert de telefoon als een open raam dat informatie onthult die in theorie zelfs voor tussenpersonen en dienstverleners privé zou moeten blijven.
Beschermingsmaatregelen voor Android-gebruikers in Spanje en Europa
Geconfronteerd met bedreigingen zoals Sturnus, Veiligheidsexperts raden aan om een aantal basisgewoonten te versterken bij dagelijks gebruik van de mobiele telefoon:
- Vermijd het installeren van APK-bestanden zijn verkregen buiten de officiële Google Store, tenzij ze afkomstig zijn van volledig geverifieerde en strikt noodzakelijke bronnen.
- Bekijk de door applicaties aangevraagde toestemmingenElke app die zonder duidelijke reden toegang vraagt tot de Toegankelijkheidsservice, moet als waarschuwing worden gezien.
- Wees op uw hoede voor verzoeken van apparaatbeheerdersrechtendie in de meeste gevallen niet nodig zijn voor de normale werking van een standaard-app.
- Houden Google Play Protect en andere beveiligingsoplossingen Zorg ervoor dat u het besturingssysteem en de geïnstalleerde apps regelmatig bijwerkt en controleer regelmatig de lijst met applicaties met gevoelige machtigingen.
- Let op vreemd gedrag (verdachte bankcontroles, onverwachte verzoeken om inloggegevens, plotselinge vertragingen) en reageer onmiddellijk bij elk waarschuwingssignaal.
Bij een vermoeden van een infectie is een mogelijke reactie: handmatig beheerders- en toegankelijkheidsrechten intrekken Verwijder alle onbekende apps via de systeeminstellingen. Als het apparaat problemen blijft vertonen, is het mogelijk nodig om een back-up te maken van essentiële gegevens en een fabrieksreset uit te voeren. Herstel alleen wat absoluut noodzakelijk is.
De verschijning van Sturnus bevestigt dat de Het Android-ecosysteem blijft een prioriteitsdoelwit Deze Trojan, ontworpen voor criminele groepen met middelen en financiële motivatie, combineert bankdiefstal, spionage van versleutelde berichten en afstandsbediening in één pakket. Het maakt gebruik van toegangsrechten en versleutelde communicatiekanalen om heimelijk te opereren. In een context waarin steeds meer gebruikers in Spanje en Europa hun mobiele telefoon gebruiken om hun geld en privécommunicatie te beheren, is waakzaamheid en het toepassen van goede digitale gewoonten cruciaal om te voorkomen dat ze slachtoffer worden van soortgelijke bedreigingen.
Ik ben een technologieliefhebber die van zijn 'nerd'-interesses zijn beroep heeft gemaakt. Ik heb meer dan 10 jaar van mijn leven doorgebracht met het gebruik van de allernieuwste technologie en het sleutelen aan allerlei programma's uit pure nieuwsgierigheid. Nu heb ik mij gespecialiseerd in computertechnologie en videogames. Dit komt omdat ik al meer dan vijf jaar voor verschillende websites over technologie en videogames schrijf en artikelen heb gemaakt die proberen u de informatie te geven die u nodig heeft in een taal die voor iedereen begrijpelijk is.
Als je vragen hebt, mijn kennis strekt zich uit van alles wat te maken heeft met het Windows-besturingssysteem tot Android voor mobiele telefoons. En mijn toewijding is aan jou, ik ben altijd bereid om een paar minuten te besteden en je te helpen bij het oplossen van eventuele vragen die je hebt in deze internetwereld.