- Sturnus to bankowy trojan dla systemu Android, który kradnie dane uwierzytelniające i przechwytuje wiadomości z szyfrowanych aplikacji, takich jak WhatsApp, Telegram i Signal.
- Wykorzystuje usługę ułatwień dostępu Androida do odczytywania całej zawartości ekranu i zdalnego sterowania urządzeniem za pomocą sesji typu VNC.
- Jest on rozpowszechniany w postaci złośliwego pliku APK podszywającego się pod znane aplikacje (np. Google Chrome) i atakującego głównie banki w Europie Środkowej i Południowej.
- Używa szyfrowanej komunikacji (HTTPS, RSA, AES, WebSocket) i wymaga uprawnień administratora, aby pozostać trwałym i utrudnić jego usunięcie.
Un Nowy bankowy trojan na Androida zwany Sturnus włączył alarmy w europejskim sektorze cyberbezpieczeństwaTo złośliwe oprogramowanie nie tylko służy do kradzieży danych uwierzytelniających transakcje finansowe, ale także możliwość odczytywania rozmów w WhatsApp, Telegramie i Signalu i przejąć niemal całkowitą kontrolę nad zainfekowanym urządzeniem.
Zagrożenie zidentyfikowane przez badaczy ThreatFabric i analitycy cytowani przez BleepingComputer, wciąż są w wczesna faza wdrażaniaale już to demonstruje niezwykły poziom wyrafinowaniaChoć wykryte dotychczas kampanie są ograniczone, eksperci obawiają się, że stanowią one testy przed szerszą ofensywą przeciwko użytkownikom Bankowość mobilna w Europie Środkowej i Południowej.
Czym jest Sturnus i dlaczego budzi tak duże obawy?
Sturnus to bankowy trojan na Androida który łączy w sobie kilka niebezpiecznych funkcji: kradzież danych uwierzytelniających transakcje finansowe, szpiegowanie aplikacji do przesyłania zaszyfrowanych wiadomości i zdalne sterowanie telefonem przy użyciu zaawansowanych technik ułatwienia dostępu.
Zgodnie z analizą techniczną opublikowaną przez ThreatFabricSzkodliwe oprogramowanie jest opracowywane i obsługiwane przez prywatną firmę, która wykazuje się wyraźnym profesjonalizmem. Chociaż kod i infrastruktura wciąż wydają się ewoluować, analizowane próbki… w pełni funkcjonalny, co wskazuje, że Napastnicy już testują trojana na prawdziwych ofiarach..
Naukowcy wskazują, że na razie wykryte cele koncentrują się w klienci europejskich instytucji finansowychszczególnie w centralnej i południowej części kontynentu. To skupienie jest widoczne w fałszywe szablony i ekrany zintegrowane ze złośliwym oprogramowaniem, specjalnie zaprojektowane tak, aby imitowało wygląd lokalnych aplikacji bankowych.
Ta kombinacja skupienie regionalne, wysokie zaawansowanie techniczne i faza testowania Sturnus wydaje się więc nowym zagrożeniem o potencjale wzrostu, podobnym do poprzednich kampanii trojanów bankowych, które zaczynały się dyskretnie, a ostatecznie zaatakowały tysiące urządzeń.
Jak się rozprzestrzenia: fałszywe aplikacje i tajne kampanie
Dystrybucja Sturnus opiera się na złośliwych plikach APK które podszywają się pod legalne i popularne aplikacje. Naukowcy zidentyfikowano pakiety, które imitują, pośród innych, do Google Chrome (z zaciemnionymi nazwami pakietów, takimi jak com.klivkfbky.izaybebnx) lub pozornie nieszkodliwe aplikacje, takie jak Pudełko Preemix (com.uvxuthoq.noscjahae).
Chociaż dokładna metoda dyfuzji Nie ustalono jeszcze tego z całą pewnością, ale dowody wskazują na kampanie phishing i złośliwe reklamya także prywatne wiadomości wysyłane za pośrednictwem platform komunikacyjnych. Wiadomości te przekierowują do fałszywych stron internetowych, gdzie użytkownik jest zachęcany do pobrania rzekomych aktualizacji lub narzędzi, które w rzeczywistości są instalatorami trojanów.
Gdy ofiara zainstaluje fałszywą aplikację, Sturnus prosi Uprawnienia dostępności a w wielu przypadkach uprawnienia administratora urządzeniaŻądania te są maskowane jako pozornie legalne wiadomości, twierdząc, że są niezbędne do zapewnienia zaawansowanych funkcji lub poprawy wydajności. Gdy użytkownik udzieli tych krytycznych uprawnień, złośliwe oprogramowanie zyskuje możliwość… zobacz wszystko, co dzieje się na ekranieinterakcja z interfejsem i zapobieganie jego odinstalowaniu za pomocą zwykłych kanałów jest kluczowa, dlatego ważne jest, aby wiedzieć jak usunąć złośliwe oprogramowanie z Androida.
Kradzież danych uwierzytelniających bankowość poprzez ekrany nakładkowe
Jedną z klasycznych, a jednocześnie bardzo skutecznych funkcji Sturnusa jest wykorzystanie ataki nakładkowe do kradzieży danych bankowych. Ta technika polega na pokazaniu fałszywe ekrany na legalnych aplikacjach, wiernie imitując interfejs aplikacji bankowej ofiary.
Gdy użytkownik otwiera aplikację bankową, trojan wykrywa zdarzenie i wyświetla fałszywe okno logowania lub weryfikacji, żądając nazwa użytkownika, hasło, PIN lub dane kartyDla osoby dotkniętej tym problemem doświadczenie wydaje się całkowicie normalne: wygląd witryny odzwierciedla logo, kolory i teksty prawdziwego banku.
Gdy tylko ofiara wprowadzi informacje, Sturnus wysyła dane uwierzytelniające do serwera atakujących za pomocą szyfrowanych kanałów. Wkrótce potem może zamknąć fałszywy ekran i przywrócić kontrolę do prawdziwej aplikacji, dzięki czemu użytkownik ledwo zauważy niewielkie opóźnienie lub dziwne zachowanie, które często pozostaje niezauważone. Po takiej kradzieży kluczowe jest Sprawdź, czy Twoje konto bankowe zostało zhakowane.
Ponadto trojan jest zdolny do: nagrywaj naciśnięcia klawiszy i zachowań w innych wrażliwych aplikacjach, co rozszerza rodzaj informacji, które może ukraść: od haseł dostępu do usług online po kody weryfikacyjne wysyłane za pośrednictwem wiadomości SMS lub wiadomości z aplikacji uwierzytelniających.
Jak szpiegować wiadomości WhatsApp, Telegram i Signal bez łamania szyfrowania
Najbardziej niepokojącym aspektem Sturnusa jest jego zdolność do czytaj konwersacje z wiadomościami wykorzystujące szyfrowanie typu end-to-endtakie jak WhatsApp, Telegram (w szyfrowanych czatach) czy Signal. Na pierwszy rzut oka mogłoby się wydawać, że złośliwe oprogramowanie złamało algorytmy kryptograficzne, ale rzeczywistość jest bardziej subtelna i niepokojąca.
Zamiast atakować transmisję wiadomości, Sturnus wykorzystuje usługę ułatwień dostępu Androida monitorować aplikacje wyświetlane na pierwszym planie. Gdy wykryje, że użytkownik otwiera jedną z tych aplikacji do przesyłania wiadomości, trojan po prostu... czytaj bezpośrednio treść wyświetlaną na ekranie.
Innymi słowy, nie łamie szyfrowania podczas transmisji: poczekaj, aż sama aplikacja odszyfruje wiadomości i wyświetlać je użytkownikowi. W tym momencie złośliwe oprogramowanie może uzyskać dostęp do tekstu, nazw kontaktów, wątków konwersacji, wiadomości przychodzących i wychodzących, a nawet innych szczegółów obecnych w interfejsie.
To podejście pozwala Sturnusowi całkowicie ominąć ochronę szyfrowania typu end-to-end bez konieczności łamania go z matematycznego punktu widzenia. Dla atakujących telefon działa jak otwarte okno, ujawniające informacje, które teoretycznie powinny pozostać prywatne nawet dla pośredników i dostawców usług.
Środki ochrony dla użytkowników Androida w Hiszpanii i Europie
W obliczu zagrożeń takich jak Sturnus, Eksperci ds. bezpieczeństwa zalecają wzmocnienie kilku podstawowych nawyków w codziennym korzystaniu z telefonu komórkowego:
- Unikaj instalowania plików APK uzyskanych poza oficjalnym sklepem Google, chyba że pochodzą ze w pełni zweryfikowanych i ściśle niezbędnych źródeł.
- Przejrzyj uważnie uprawnienia żądane przez aplikacjeKażda aplikacja żądająca dostępu do Usługi Ułatwień Dostępu bez wyraźnego powodu powinna wzbudzić podejrzenia.
- Zachowaj ostrożność w przypadku próśb od uprawnienia administratora urządzeniaktóre w większości przypadków nie są niezbędne do normalnego funkcjonowania standardowej aplikacji.
- Trzymać Google Play Protect i inne rozwiązania zabezpieczające Regularnie i aktywnie aktualizuj system operacyjny i zainstalowane aplikacje, a także okresowo przeglądaj listę aplikacji z poufnymi uprawnieniami.
- Bądź uważny na dziwne zachowanie (podejrzane kontrole bankowe, nieoczekiwane prośby o podanie danych uwierzytelniających, nagłe spowolnienia) i reaguj natychmiast po pojawieniu się jakiegokolwiek sygnału ostrzegawczego.
W przypadku podejrzenia zakażenia jedną z możliwych reakcji jest ręcznie cofnij uprawnienia administratora i dostępu W ustawieniach systemowych odinstaluj wszystkie nieznane aplikacje. Jeśli urządzenie nadal wykazuje objawy, konieczne może być wykonanie kopii zapasowej ważnych danych i przywrócenie ustawień fabrycznych, przywracając tylko te, które są absolutnie niezbędne.
Pojawienie się Sturnusa potwierdza, że Ekosystem Androida pozostaje priorytetowym celem Ten trojan, zaprojektowany dla grup przestępczych dysponujących zasobami i motywacją finansową, łączy w sobie kradzież bankową, szpiegostwo za pomocą szyfrowanych wiadomości i zdalne sterowanie. Wykorzystuje uprawnienia dostępu i szyfrowane kanały komunikacji, aby działać w ukryciu. W kontekście, w którym coraz więcej użytkowników w Hiszpanii i Europie korzysta z telefonów komórkowych do zarządzania swoimi pieniędzmi i prywatną komunikacją, zachowanie czujności i stosowanie dobrych praktyk cyfrowych staje się kluczowe, aby uniknąć stania się ofiarą podobnych zagrożeń.
Jestem entuzjastą technologii, który swoje „geekowskie” zainteresowania przekształcił w zawód. Spędziłem ponad 10 lat mojego życia, korzystając z najnowocześniejszych technologii i majsterkując przy wszelkiego rodzaju programach z czystej ciekawości. Teraz specjalizuję się w technologii komputerowej i grach wideo. Dzieje się tak dlatego, że od ponad 5 lat piszę dla różnych serwisów poświęconych technologii i grom wideo, tworząc artykuły, których celem jest dostarczenie potrzebnych informacji w języku zrozumiałym dla każdego.
Jeśli masz jakieś pytania, moja wiedza obejmuje wszystko, co jest związane z systemem operacyjnym Windows, a także Androidem dla telefonów komórkowych. Moje zaangażowanie jest wobec Ciebie. Zawsze jestem gotowy poświęcić kilka minut i pomóc Ci rozwiązać wszelkie pytania, jakie możesz mieć w tym internetowym świecie.