- Sturnus er en banktrojaner for Android som stjeler påloggingsinformasjon og avlytter meldinger fra krypterte apper som WhatsApp, Telegram og Signal.
- Den misbruker Android Accessibility Service til å lese alt på skjermen og kontrollere enheten eksternt ved hjelp av VNC-lignende økter.
- Den distribueres som en ondsinnet APK som utgir seg for å være kjente apper (f.eks. Google Chrome) og primært retter seg mot banker i Sentral- og Sør-Europa.
- Den bruker kryptert kommunikasjon (HTTPS, RSA, AES, WebSocket) og ber om administratorrettigheter for å forbli permanente, noe som kompliserer fjerningen.
Un Ny banktrojaner for Android kalt Sturnus har slått på alarmer i den europeiske cybersikkerhetssektorenDenne skadelige programvaren er ikke bare utviklet for å stjele økonomiske legitimasjonsopplysninger, men den er også i stand til å lese WhatsApp-, Telegram- og Signal-samtaler og ta nesten full kontroll over den infiserte enheten.
Trusselen, identifisert av forskere fra Trusselstoff og analytikere sitert av BleepingComputer, er fortsatt i en tidlig utplasseringsfasemen det viser allerede en uvanlig nivå av raffinementSelv om kampanjene som er oppdaget så langt er begrensede, frykter eksperter at de er tester før en større offensiv mot brukere av Mobilbank i Sentral- og Sør-Europa.
Hva er Sturnus, og hvorfor er det så bekymrende?
Sturnus er en banktrojan for Android som kombinerer flere farlige funksjoner i én pakke: tyveri av økonomiske legitimasjonsopplysninger, spionasje på krypterte meldingsapper og fjernkontroll av telefonen ved hjelp av avanserte tilgjengelighetsteknikker.
I følge den tekniske analysen publisert av TrusselstoffSkadevaren er utviklet og drevet av et privat selskap med en tydelig profesjonell tilnærming. Selv om koden og infrastrukturen fortsatt ser ut til å være i utvikling, er de analyserte prøvene fullt funksjonell, som indikerer det Angriperne tester allerede trojaneren på virkelige ofre..
Forskerne indikerer at de oppdagede målene foreløpig er konsentrert i kunder hos europeiske finansinstitusjonerspesielt i de sentrale og sørlige delene av kontinentet. Dette fokuset er tydelig i falske maler og skjermbilder integrert i skadevaren, spesielt utviklet for å etterligne utseendet til lokale bankapplikasjoner.
Denne kombinasjonen av regionalt fokus, høy teknisk raffinement og testfase Dette får Sturnus til å virke som en fremvoksende trussel med vekstpotensial, i likhet med tidligere banktrojanerkampanjer som startet diskret og endte opp med å påvirke tusenvis av enheter.
Hvordan det sprer seg: falske apper og skjulte kampanjer
Fordelingen av Sturnus er avhengig av ondsinnede APK-filer som utgir seg for å være legitime og populære apper. Forskerne har identifisert pakker som etterligner, blant andre, til Google Chrome (med forvirrede pakkenavn som com.klivkfbky.izaybebnx) eller tilsynelatende harmløse apper som Premix-boks (com.uvxuthoq.noscjahae).
Selv om eksakt diffusjonsmetode Det er ennå ikke fastslått med sikkerhet, men bevisene peker mot kampanjer av phishing og ondsinnede annonsersamt private meldinger sendt via meldingsplattformer. Disse meldingene omdirigerer til falske nettsteder der brukeren blir invitert til å laste ned angivelige oppdateringer eller verktøy som i virkeligheten er trojanerinstallasjonsprogrammet.
Når offeret installerer den falske applikasjonen, ber Sturnus om Tilgjengelighetstillatelser og i mange tilfeller enhetsadministratorrettigheterDisse forespørslene er kamuflert som tilsynelatende legitime meldinger, og hevder at de er nødvendige for å tilby avanserte funksjoner eller forbedre ytelsen. Når brukeren gir disse kritiske tillatelsene, får skadevaren muligheten til å se alt som skjer på skjermenDet er viktig å samhandle med grensesnittet og forhindre avinstallering gjennom vanlige kanaler, så det er avgjørende å vite hvordan fjerne skadelig programvare fra Android.
Tyveri av bankopplysninger via overleggsskjermer
En av Sturnus' klassiske, men fortsatt svært effektive, funksjoner er bruken av overlay-angrep å stjele bankdata. Denne teknikken innebærer å vise falske skjermer fremfor legitime apper, som trofast etterligner grensesnittet til offerets bankapp.
Når brukeren åpner bankappen sin, oppdager trojaneren hendelsen og viser et falskt påloggings- eller bekreftelsesvindu, der den ber om brukernavn, passord, PIN-kode eller kortopplysningerFor den berørte personen virker opplevelsen helt normal: det visuelle utseendet gjenskaper logoene, fargene og tekstene til den virkelige banken.
Så snart offeret legger inn informasjonen, Sturnus sender legitimasjonen til angripernes server ved hjelp av krypterte kanaler. Kort tid etter kan den lukke den falske skjermen og gi kontrollen tilbake til den virkelige appen, slik at brukeren knapt merker en liten forsinkelse eller merkelig oppførsel, som ofte går ubemerket hen. Etter et slikt tyveri er det avgjørende Sjekk om bankkontoen din har blitt hacket.
I tillegg er trojaneren i stand til å ta opp tastetrykk og atferd i andre sensitive applikasjoner, noe som utvider typen informasjon den kan stjele: fra passord for å få tilgang til nettjenester til verifiseringskoder sendt via SMS eller meldinger fra autentiseringsapper.
Slik spionerer du på WhatsApp-, Telegram- og Signal-meldinger uten å bryte krypteringen
Det mest foruroligende aspektet ved Sturnus er dens evne til å lese meldingssamtaler som bruker ende-til-ende-krypteringsom WhatsApp, Telegram (i sine krypterte chatter) eller Signal. Ved første øyekast kan det virke som om skadevaren har klart å kompromittere de kryptografiske algoritmene, men virkeligheten er mer subtil og bekymringsfull.
I stedet for å angripe overføringen av meldinger, Sturnus bruker Androids tilgjengelighetstjeneste å overvåke programmene som vises i forgrunnen. Når den oppdager at brukeren åpner en av disse meldingsappene, vil trojaneren ganske enkelt... les direkte innholdet som vises på skjermen.
Med andre ord, den bryter ikke krypteringen underveis: vent til selve applikasjonen dekrypterer meldingene og vise dem til brukeren. I det øyeblikket kan skadevaren få tilgang til tekstmeldinger, kontaktnavn, samtaletråder, innkommende og utgående meldinger, og til og med andre detaljer som finnes i grensesnittet.
Denne tilnærmingen tillater Sturnus omgå fullstendig ende-til-ende-krypteringsbeskyttelse uten at man trenger å knekke den fra et matematisk synspunkt. For angripere fungerer telefonen som et åpent vindu som avslører informasjon som i teorien burde forbli privat selv for mellomledd og tjenesteleverandører.
Beskyttelsestiltak for Android-brukere i Spania og Europa
Stilt overfor trusler som Sturnus, Sikkerhetseksperter anbefaler å forsterke flere grunnleggende vaner i daglig mobiltelefonbruk:
- Unngå å installere APK-filer innhentet utenfor den offisielle Google-butikken, med mindre de er fra fullstendig verifiserte og strengt nødvendige kilder.
- Gjennomgå nøye tillatelser forespurt av applikasjonerEnhver apper som ber om tilgang til tilgjengelighetstjenesten uten en veldig klar grunn, bør varsle.
- Vær forsiktig med forespørsler fra enhetsadministratorrettighetersom i de fleste tilfeller ikke er nødvendige for normal funksjon av en standardapp.
- opprettholde Google Play Protect og andre sikkerhetsløsninger Oppdater operativsystemet og installerte apper aktivt regelmessig, og gjennomgå listen over apper med sensitive tillatelser med jevne mellomrom.
- Vær oppmerksom på merkelig oppførsel (mistenkelige bankkontroller, uventede forespørsler om legitimasjon, plutselige nedbremsinger) og handle umiddelbart ved ethvert varseltegn.
Ved mistanke om infeksjon er én mulig reaksjon tilbakekalle administrator- og tilgjengelighetsrettigheter manuelt Fra systeminnstillingene avinstallerer du eventuelle ukjente apper. Hvis enheten fortsetter å vise symptomer, kan det være nødvendig å sikkerhetskopiere viktige data og utføre en tilbakestilling til fabrikkinnstillinger, der du bare gjenoppretter det som er absolutt nødvendig.
Sturnus' opptreden bekrefter at Android-økosystemet er fortsatt et prioritert mål Denne trojaneren, utviklet for kriminelle grupper med ressurser og økonomisk motivasjon, kombinerer banktyveri, kryptert meldingsspionasje og fjernkontroll i én pakke. Den utnytter tilgangstillatelser og krypterte kommunikasjonskanaler for å operere i hemmelighet. I en kontekst der stadig flere brukere i Spania og Europa er avhengige av mobiltelefonene sine for å administrere penger og privat kommunikasjon, blir det avgjørende å være årvåken og ta i bruk god digital praksis for å unngå å bli offer for lignende trusler.
Jeg er en teknologientusiast som har gjort sine "geek"-interesser til et yrke. Jeg har brukt mer enn 10 år av livet mitt på å bruke banebrytende teknologi og fikse med alle slags programmer av ren nysgjerrighet. Nå har jeg spesialisert meg på datateknologi og videospill. Dette er fordi jeg i mer enn 5 år har skrevet for forskjellige nettsteder om teknologi og videospill, og laget artikler som prøver å gi deg den informasjonen du trenger på et språk som er forståelig for alle.
Hvis du har spørsmål, spenner min kunnskap fra alt relatert til Windows-operativsystemet samt Android for mobiltelefoner. Og mitt engasjement er til deg, jeg er alltid villig til å bruke noen minutter og hjelpe deg med å løse eventuelle spørsmål du måtte ha i denne internettverdenen.