Sturnus-skadevaren er i stand til å lese krypterte meldinger i Whatsapp, Signal og Telegram. Foto: CyberInsider.
Ifølge en rapport fra ThreatFabric har Sturnus blitt observert i målrettede angrep, primært rettet mot brukere i Sør- og Sentral-Europa. Forskere mener at skadevaren fortsatt er i en tidlig utviklingsfase, og sannsynligvis distribuert sporadisk for testing snarere enn i storskala kampanjer. Den «skalerbare» arkitekturen gjør den imidlertid til en farlig trussel å se opp for.
Smittemåte
Infeksjonsprosessen starter når brukere laster ned skadelige Android APK-filer (applikasjoner lastet ned fra uoffisielle nettsteder utenfor Google Play-butikken). Disse APK-filene er ofte kamuflert som legitime applikasjoner, for eksempel Google Chrome eller Preemix Box, og brukere installerer uforvarende tredjepartsapplikasjoner som inneholder denne Sturnus.
Når den er installert, etablerer Sturnus en kryptert HTTPS-kanal for å overføre kommandoer og lekke data.
Når en bruker åpner en sikker meldingsapp, oppdager skadevaren appen og utløser UI-tree-pipelinen. Dette systemet lar Sturnus lese alle dataene som vises på skjermen i sanntid, inkludert avsendernavn, meldingsinnhold og tidsstempel. Siden denne overvåkingen gjøres lokalt, deaktiverer den beskyttelsen som tilbys av protokoller som Signal Protocol. Dette skjer uten noen åpenbar advarsel til brukeren, og appgrensesnittet ser normalt ut. Dette er også den mest alarmerende funksjonen.
I tillegg får Sturnus administratorrettigheter på Android-enheter, slik at den kan overvåke passordendringer og opplåsingsforsøk, samt låse enheten eksternt. Skadevaren er også utformet for å forhindre at brukere fjerner rettigheter eller avinstallerer programvare fra enheten.
Sofistikert tyveri av bankinformasjon
Sturnus kan stjele banklegitimasjon gjennom falske innloggingsskjermer ved å bruke HTML-overlegg som etterligner legitime bankapplikasjoner. Disse overleggene lagres lokalt og er skreddersydd for spesifikke finansinstitusjoner.
Skadevaren gir angripere fullstendig fjernkontroll i sanntid. Fjernkontrollen lar angripere overvåke all brukeraktivitet, sette inn tekst uten fysisk interaksjon, utføre uredelige transaksjoner, inkludert å overføre penger fra en bankapp, bekrefte dialogbokser, godkjenne flerfaktorautentiseringsskjermbilder, endre innstillinger eller installere nye apper.
Mens Sturnus utfører disse ondsinnede handlingene, opererer den med en høy grad av anonymitet. Den kan sverte enhetens skjerm (aktivere det svarte overlegget) for å skjule den pågående bakgrunnsaktiviteten uten at offeret vet det.
Anbefalinger for beskyttelse
For å beskytte mot Sturnus bør Android-brukere ta følgende forholdsregler:
Unngå å laste ned APK-filer fra andre steder enn Google Play eller fra ukjente apputviklere.
Slå alltid på Play Protect for å skanne og fjerne trusler.
Unngå å gi tilgjengelighetstillatelser med mindre det er absolutt nødvendig, og sjekk installerte apper for tillatelser for tilgjengelighetstjenesten.
– Video du kanskje er interessert i: Advarsel om skadelig programvare som stjeler informasjon fra bilder på Android og iPhone. Kilde: VTV24
Kilde: https://doanhnghiepvn.vn/cong-nghe/canh-bao-ma-doc-sturnus-doc-trom-tin-nhan-va-lay-du-lieu-ngan-hang-tren-android/20251128095956316
Kommentar (0)