Sturnus-malware kan versleutelde berichten in Whatsapp, Signal en Telegram lezen. Foto: CyberInsider.
Volgens een rapport van ThreatFabric is Sturnus waargenomen bij gerichte aanvallen, voornamelijk gericht op gebruikers in Zuid- en Centraal-Europa. Onderzoekers denken dat de malware zich nog in een vroeg stadium van ontwikkeling bevindt en waarschijnlijk sporadisch wordt ingezet voor tests in plaats van grootschalige campagnes. De "schaalbare" architectuur maakt het echter een gevaarlijke bedreiging om op te letten.
Besmettingswijze
Het infectieproces begint wanneer gebruikers schadelijke Android APK-bestanden downloaden (applicaties die gedownload zijn van onofficiële websites, buiten de Google Play Store). Deze APK-bestanden zijn vaak vermomd als legitieme applicaties, zoals Google Chrome of Premix Box, en gebruikers installeren onbewust applicaties van derden die deze Sturnus bevatten.
Nadat Sturnus is geïnstalleerd, wordt een gecodeerd HTTPS-kanaal opgezet om opdrachten te verzenden en gegevens te lekken.
Wanneer een gebruiker een beveiligde berichten-app opent, detecteert de malware de app en activeert de UI-tree-pijplijn. Dit systeem stelt Sturnus in staat om alle gegevens die op het scherm worden weergegeven in realtime te lezen, inclusief de naam van de afzender, de inhoud van het bericht en het tijdstempel. Omdat deze monitoring lokaal plaatsvindt, worden de beschermingsmaatregelen van protocollen zoals het Signal Protocol uitgeschakeld. Dit gebeurt zonder duidelijke waarschuwing voor de gebruiker en de app-interface lijkt normaal. Dit is tevens de meest alarmerende eigenschap.
Bovendien krijgt Sturnus beheerdersrechten op Android-apparaten, waardoor het wachtwoordwijzigingen en ontgrendelingspogingen kan monitoren en het apparaat op afstand kan vergrendelen. De malware is ook ontworpen om te voorkomen dat gebruikers rechten intrekken of software van het apparaat verwijderen.
Geavanceerde diefstal van bankgegevens
Sturnus kan bankgegevens stelen via nep-inlogschermen, met behulp van HTML-overlays die legitieme bankapplicaties nabootsen. Deze overlays worden lokaal opgeslagen en zijn afgestemd op specifieke financiële instellingen.
De malware geeft aanvallers volledige, realtime controle op afstand. Met deze controle op afstand kunnen ze alle gebruikersactiviteiten monitoren, tekst invoeren zonder fysieke interactie, frauduleuze transacties uitvoeren, waaronder geld overmaken vanuit een bank-app, dialoogvensters bevestigen, schermen voor multifactorauthenticatie goedkeuren, instellingen wijzigen of nieuwe apps installeren.
Tijdens het uitvoeren van deze kwaadaardige acties opereert Sturnus met een hoge mate van anonimiteit. Het kan het scherm van het apparaat zwart maken (door de zwarte overlay te activeren) om de actieve achtergrondactiviteit te verbergen zonder dat het slachtoffer het weet.
Beschermingsaanbevelingen
Om zich tegen Sturnus te beschermen, moeten Android-gebruikers de volgende voorzorgsmaatregelen nemen:
Vermijd het downloaden van APK-bestanden van buiten Google Play of van onbekende app-ontwikkelaars.
Schakel Play Protect altijd in om bedreigingen te scannen en te verwijderen.
Verleen geen Toegankelijkheidsmachtigingen tenzij dit absoluut noodzakelijk is en controleer de machtigingen voor de Toegankelijkheidsservice van geïnstalleerde apps.
- Video die u wellicht interesseert: Waarschuwing over malware die informatie steelt uit afbeeldingen op Android en iPhone. Bron: VTV24.
Bron: https://doanhnghiepvn.vn/cong-nghe/canh-bao-ma-doc-sturnus-doc-trom-tin-nhan-va-lay-du-lieu-ngan-hang-tren-android/20251128095956316
Reactie (0)