Szkodliwe oprogramowanie Sturnus potrafi odczytywać zaszyfrowane wiadomości w WhatsAppie, Signalu i Telegramie. Zdjęcie: CyberInsider.
Według raportu ThreatFabric, Sturnus był obserwowany w atakach ukierunkowanych, wymierzonych głównie w użytkowników w Europie Południowej i Środkowej. Badacze uważają, że złośliwe oprogramowanie jest wciąż na wczesnym etapie rozwoju i prawdopodobnie jest wdrażane sporadycznie w celach testowych, a nie w kampaniach na dużą skalę. Jednak jego „skalowalna” architektura sprawia, że jest to niebezpieczne zagrożenie, na które warto uważać.
Sposób zakażenia
Proces infekcji rozpoczyna się, gdy użytkownicy pobierają złośliwe pliki APK systemu Android (aplikacje pobrane z nieoficjalnych stron internetowych, spoza sklepu Google Play). Pliki APK często podszywają się pod legalne aplikacje, takie jak Google Chrome czy Preemix Box, a użytkownicy nieświadomie instalują aplikacje innych firm zawierające ten Sturnus.
Po zainstalowaniu Sturnus ustanawia szyfrowany kanał HTTPS w celu przesyłania poleceń i wycieku danych.
Gdy użytkownik otwiera bezpieczną aplikację do przesyłania wiadomości, złośliwe oprogramowanie ją wykrywa i uruchamia proces UI-tree. System ten pozwala Sturnusowi odczytywać wszystkie dane wyświetlane na ekranie w czasie rzeczywistym, w tym nazwę nadawcy, treść wiadomości i znacznik czasu. Ponieważ monitorowanie odbywa się lokalnie, wyłącza ono zabezpieczenia zapewniane przez protokoły takie jak Signal Protocol. Dzieje się to bez wyraźnego ostrzeżenia dla użytkownika, a interfejs aplikacji wygląda normalnie. Jest to również najbardziej niepokojąca funkcja.
Dodatkowo Sturnus zyskuje uprawnienia administratora na urządzeniach z systemem Android, co pozwala mu monitorować zmiany haseł i próby odblokowania, a także zdalnie blokować urządzenie. Szkodliwe oprogramowanie ma również na celu uniemożliwienie użytkownikom usuwania uprawnień lub odinstalowywania oprogramowania z urządzenia.
Wyrafinowana kradzież informacji bankowych
Sturnus potrafi kraść dane uwierzytelniające do kont bankowych za pomocą fałszywych ekranów logowania, wykorzystując nakładki HTML imitujące legalne aplikacje bankowe. Nakładki te są przechowywane lokalnie i dostosowane do konkretnych instytucji finansowych.
Szkodliwe oprogramowanie zapewnia atakującym pełną, zdalną kontrolę w czasie rzeczywistym. Zdalne sterowanie pozwala atakującym monitorować wszystkie działania użytkownika, wprowadzać tekst bez fizycznej interakcji, wykonywać oszukańcze transakcje, w tym przelewać pieniądze z aplikacji bankowej, potwierdzać okna dialogowe, zatwierdzać ekrany uwierzytelniania wieloskładnikowego, zmieniać ustawienia lub instalować nowe aplikacje.
Wykonując te złośliwe działania, Sturnus działa z zachowaniem wysokiego stopnia anonimowości. Potrafi zaciemnić ekran urządzenia (aktywując czarną nakładkę), aby ukryć swoją bieżącą aktywność w tle bez wiedzy ofiary.
Zalecenia dotyczące ochrony
Aby chronić się przed wirusem Sturnus, użytkownicy systemu Android powinni podjąć następujące środki ostrożności:
Unikaj pobierania plików APK z innych źródeł niż Google Play lub od nieznanych twórców aplikacji.
Zawsze włączaj usługę Play Protect, aby skanować i usuwać zagrożenia.
Unikaj udzielania uprawnień dotyczących ułatwień dostępu, chyba że jest to absolutnie konieczne, i sprawdź zainstalowane aplikacje pod kątem uprawnień usługi ułatwień dostępu.
- Film, który może Cię zainteresować: Ostrzeżenie przed złośliwym oprogramowaniem kradnącym informacje ze zdjęć na urządzeniach z Androidem i iPhone'em. Źródło: VTV24.
Source: https://doanhnghiepvn.vn/cong-nghe/canh-bao-ma-doc-sturnus-doc-trom-tin-nhan-va-lay-du-lieu-ngan-hang-tren-android/20251128095956316
Komentarz (0)