- Sturnus je bankový trójsky kôň pre Android, ktorý kradne prihlasovacie údaje a zachytáva správy zo šifrovaných aplikácií ako WhatsApp, Telegram a Signal.
- Zneužíva službu Android Accessibility Service na čítanie všetkého na obrazovke a ovládanie zariadenia na diaľku pomocou relácií typu VNC.
- Distribuuje sa ako škodlivý súbor APK, ktorý sa maskuje ako známe aplikácie (napr. Google Chrome) a primárne sa zameriava na banky v strednej a južnej Európe.
- Používa šifrovanú komunikáciu (HTTPS, RSA, AES, WebSocket) a vyžaduje si administrátorské oprávnenia, aby zostal trvalý, čo komplikuje jeho odstránenie.
Un Nový bankový trójsky kôň pre Android zvaný Sturnus zapol sa alarmy v európskom sektore kybernetickej bezpečnostiTento malvér nie je určený len na krádež finančných údajov, ale aj na... schopný čítať konverzácie cez WhatsApp, Telegram a Signal a prevziať takmer úplnú kontrolu nad infikovaným zariadením.
Hrozba, ktorú identifikovali výskumníci ThreatFabric a analytici, ktorých cituje BleepingComputer, sú stále v fáza raného nasadeniaale už to ukazuje nezvyčajná úroveň sofistikovanostiHoci počet doteraz odhalených kampaní je obmedzený, odborníci sa obávajú, že ide o testy pred rozsiahlejšou ofenzívou proti používateľom... Mobilné bankovníctvo v strednej a južnej Európe.
Čo je Sturnus a prečo spôsobuje toľko obáv?
Sturnus je bankový trójsky kôň pre Android ktorý kombinuje niekoľko nebezpečných funkcií do jedného balíka: krádež finančných údajov, špehovanie aplikácií na šifrované správy a diaľkové ovládanie telefónu pomocou pokročilých techník prístupnosti.
Podľa technickej analýzy, ktorú zverejnila ThreatFabricMalvér vyvíja a prevádzkuje súkromná spoločnosť s jednoznačne profesionálnym prístupom. Hoci sa zdá, že kód a infraštruktúra sa stále vyvíjajú, analyzované vzorky sú plne funkčný, čo naznačuje, že Útočníci už testujú trójskeho koňa na skutočných obetiach..
Výskumníci naznačujú, že zatiaľ sú detekované ciele sústredené v klienti európskych finančných inštitúciínajmä v centrálnych a južných častiach kontinentu. Toto zameranie je zrejmé v falošné šablóny a obrazovky integrovaný do malvéru, špeciálne navrhnutý tak, aby napodobňoval vzhľad lokálnych bankových aplikácií.
Táto kombinácia regionálne zameranie, vysoká technická sofistikovanosť a testovacia fáza Vďaka tomu sa Sturnus javí ako vznikajúca hrozba s rastovým potenciálom, podobne ako predchádzajúce kampane bankových trójskych koní, ktoré začali diskrétne a nakoniec postihli tisíce zariadení.
Ako sa šíri: falošné aplikácie a tajné kampane
Distribúcia Sturnus sa spolieha na škodlivé súbory APK ktoré sa maskujú ako legitímne a populárne aplikácie. Výskumníci identifikovali balíky, ktoré napodobňujú, okrem iného, do prehliadača Google Chrome (s obfuskovanými názvami balíkov ako com.klivkfbky.izaybebnx) alebo zdanlivo neškodné aplikácie ako Predmiešavacia skrinka (com.uvxuthoq.noscjahae).
Hoci presná difúzna metóda Zatiaľ to nebolo s istotou stanovené, ale dôkazy poukazujú na kampane phishing a škodlivé reklamyako aj súkromné správy odoslané prostredníctvom platforiem na zasielanie správ. Tieto správy presmerujú na podvodné webové stránky, kde je používateľ vyzvaný na stiahnutie údajných aktualizácií alebo nástrojov, ktoré sú v skutočnosti inštalátorom trójskeho koňa.
Keď obeť nainštaluje podvodnú aplikáciu, Sturnus požiada Povolenia prístupnosti a v mnohých prípadoch oprávnenia správcu zariadeniaTieto požiadavky sú maskované ako zdanlivo legitímne správy a tvrdia, že sú potrebné na poskytovanie pokročilých funkcií alebo zlepšenie výkonu. Keď používateľ udelí tieto kritické povolenia, malvér získa schopnosť vidieť všetko, čo sa deje na obrazovkeInterakcia s rozhraním a zabránenie jeho odinštalovaniu prostredníctvom bežných kanálov je kľúčová, preto je dôležité vedieť ako odstrániť malware z Androidu.
Krádež bankových údajov prostredníctvom prekrývajúcich obrazoviek
Jednou z klasických, no stále veľmi účinných funkcií Sturnusa je použitie prekrývajúce útoky ukradnúť bankové údaje. Táto technika zahŕňa zobrazenie falošné obrazovky prekrývajúce legitímne aplikácie, verne napodobňujúc rozhranie bankovej aplikácie obete.
Keď používateľ otvorí svoju bankovú aplikáciu, trójsky kôň túto udalosť zistí a zobrazí falošné prihlasovacie alebo overovacie okno so žiadosťou používateľské meno, heslo, PIN kód alebo údaje o kartePre postihnutú osobu sa zážitok javí ako úplne normálny: vizuálny vzhľad kopíruje logá, farby a texty skutočnej banky.
Hneď ako obeť zadá informácie, Sturnus odošle prihlasovacie údaje na server útočníkov. pomocou šifrovaných kanálov. Krátko nato dokáže zavrieť podvodnú obrazovku a vrátiť kontrolu skutočnej aplikácii, takže si používateľ sotva všimne mierne oneskorenie alebo zvláštne správanie, ktoré často zostane nepovšimnuté. Po takejto krádeži je kľúčové Skontrolujte, či váš bankový účet nebol napadnutý hackermi.
Okrem toho je trójsky kôň schopný zaznamenávať stlačenia klávesov a správanie v rámci iných citlivých aplikácií, čo rozširuje typ informácií, ktoré môže ukradnúť: od hesiel na prístup k online službám až po overovacie kódy odoslané prostredníctvom SMS alebo správ z autentifikačných aplikácií.
Ako špehovať správy WhatsApp, Telegram a Signal bez prelomenia šifrovania
Najznepokojujúcejším aspektom Sturnusu je jeho schopnosť čítať konverzácie správ, ktoré používajú šifrovanie typu end-to-endako napríklad WhatsApp, Telegram (v jeho šifrovaných chatoch) alebo Signal. Na prvý pohľad sa môže zdať, že malvéru sa podarilo prelomiť kryptografické algoritmy, ale realita je jemnejšia a znepokojujúcejšia.
Namiesto útoku na prenos správ, Sturnus využíva službu prístupnosti pre Android monitorovať aplikácie zobrazené v popredí. Keď trójsky kôň zistí, že používateľ otvorí jednu z týchto aplikácií na odosielanie správ, jednoducho... priamo čítať obsah, ktorý sa zobrazuje na obrazovke.
Inými slovami, počas prenosu sa šifrovanie nepreruší: počkajte, kým aplikácia sama dešifruje správy a zobraziť ich používateľovi. V tom momente má malvér prístup k textovým správam, menám kontaktov, vláknam konverzácií, prichádzajúcim a odchádzajúcim správam a dokonca aj k ďalším detailom prítomným v rozhraní.
Tento prístup umožňuje Sturnusovi úplne obísť ochranu end-to-end šifrovaním bez toho, aby bolo potrebné ho prelomiť z matematického hľadiska. Pre útočníkov telefón funguje ako otvorené okno, ktoré odhaľuje informácie, ktoré by teoreticky mali zostať súkromné aj pred sprostredkovateľmi a poskytovateľmi služieb.
Ochranné opatrenia pre používateľov systému Android v Španielsku a Európe
Tvárou v tvár hrozbám, ako bol Sturnus, Bezpečnostní experti odporúčajú posilniť niekoľko základných návykov pri každodennom používaní mobilného telefónu:
- Vyhnite sa inštalácii súborov APK získané mimo oficiálneho obchodu Google, pokiaľ nepochádzajú z plne overených a nevyhnutne potrebných zdrojov.
- Pozorne si preštudujte povolenia požadované aplikáciamiAkákoľvek aplikácia, ktorá požaduje prístup k službe prístupnosti bez jasného dôvodu, by mala byť varovným signálom.
- Buďte opatrní pri žiadostiach od oprávnenia správcu zariadeniaktoré vo väčšine prípadov nie sú potrebné pre normálne fungovanie štandardnej aplikácie.
- Ponechať Google Play Protect a ďalšie bezpečnostné riešenia Pravidelne aktívne aktualizujte operačný systém a nainštalované aplikácie a pravidelne kontrolujte zoznam aplikácií s citlivými povoleniami.
- Buďte pozorní na zvláštne správanie (podozrivé bankové obrazovky, neočakávané žiadosti o prihlasovacie údaje, náhle spomalenia) a pri akomkoľvek varovnom signále okamžite konajte.
V prípade podozrenia na infekciu je jednou z možných reakcií manuálne odobrať oprávnenia správcu a prístupnosti V nastaveniach systému odinštalujte všetky neznáme aplikácie. Ak zariadenie naďalej vykazuje príznaky, môže byť potrebné zálohovať dôležité údaje a vykonať obnovenie do továrenských nastavení, pričom obnovíte iba to, čo je absolútne nevyhnutné.
Vzhľad Sturnusa potvrdzuje, že Ekosystém Androidu zostáva prioritným cieľom Tento trójsky kôň, určený pre zločinecké skupiny s dostatočnými zdrojmi a finančnou motiváciou, kombinuje bankové krádeže, špionáž šifrovaných správ a diaľkové ovládanie do jedného balíka. Využíva povolenia na prístup a šifrované komunikačné kanály na nenápadné fungovanie. V kontexte, keď sa čoraz viac používateľov v Španielsku a Európe spolieha na svoje mobilné telefóny na správu svojich peňazí a súkromnej komunikácie, je ostražitá pozornosť a dodržiavanie osvedčených digitálnych postupov kľúčové, aby sa predišlo tomu, že sa stanete obeťou podobných hrozieb.
Som technologický nadšenec, ktorý zo svojich „geekovských“ záujmov urobil povolanie. Strávil som viac ako 10 rokov svojho života používaním špičkových technológií a hraním so všetkými druhmi programov z čistej zvedavosti. Teraz som sa špecializoval na počítačovú techniku a videohry. Je to preto, že už viac ako 5 rokov píšem pre rôzne webové stránky o technológiách a videohrách a vytváram články, ktoré sa snažia poskytnúť vám potrebné informácie v jazyku, ktorý je zrozumiteľný pre každého.
Ak máte nejaké otázky, moje znalosti siahajú od všetkého, čo súvisí s operačným systémom Windows, ako aj Androidom pre mobilné telefóny. A môj záväzok je voči vám, vždy som ochotný venovať pár minút a pomôcť vám vyriešiť akékoľvek otázky, ktoré môžete mať v tomto internetovom svete.