Programul malware Sturnus este capabil să citească mesaje criptate în Whatsapp, Signal și Telegram. Foto: CyberInsider.
Conform unui raport al ThreatFabric, Sturnus a fost observat în atacuri direcționate, vizând în principal utilizatori din Europa de Sud și Centrală. Cercetătorii cred că malware-ul se află încă în stadii incipiente de dezvoltare, probabil implementat sporadic pentru testare, mai degrabă decât în campanii la scară largă. Cu toate acestea, arhitectura sa „scalabilă” îl face o amenințare periculoasă la care trebuie să fim atenți.
Mod de infectare
Procesul de infectare începe atunci când utilizatorii descarcă fișiere APK Android rău intenționate (aplicații descărcate de pe site-uri web neoficiale, în afara magazinului Google Play). Aceste fișiere APK sunt adesea deghizate în aplicații legitime, cum ar fi Google Chrome sau Preemix Box, iar utilizatorii instalează fără să știe aplicații terțe care conțin acest Sturnus.
Odată instalat, Sturnus stabilește un canal HTTPS criptat pentru a transmite comenzi și a divulga date.
Când un utilizator deschide o aplicație de mesagerie securizată, malware-ul detectează aplicația și declanșează canalul UI-tree. Acest sistem permite Sturnus să citească toate datele afișate pe ecran în timp real, inclusiv numele expeditorului, conținutul mesajului și marcajul temporal. Deoarece această monitorizare se face local, dezactivează protecțiile oferite de protocoale precum Signal Protocol. Acest lucru se întâmplă fără niciun avertisment evident pentru utilizator, iar interfața aplicației apare normal. Aceasta este, de asemenea, cea mai alarmantă caracteristică.
În plus, Sturnus obține privilegii de administrator pe dispozitivele Android, permițându-i să monitorizeze modificările parolei și încercările de deblocare, precum și să blocheze dispozitivul de la distanță. Programul malware este, de asemenea, conceput pentru a împiedica utilizatorii să elimine privilegiile sau să dezinstaleze software de pe dispozitiv.
Furt sofisticat de informații bancare
Sturnus poate fura acreditări bancare prin intermediul unor ecrane de conectare false, folosind suprapuneri HTML care imită aplicații bancare legitime. Aceste suprapuneri sunt stocate local și sunt adaptate la anumite instituții financiare.
Malware-ul oferă atacatorilor control complet, în timp real, de la distanță. Controlul de la distanță permite atacatorilor să monitorizeze toate activitățile utilizatorilor, să insereze text fără interacțiune fizică, să efectueze tranzacții frauduloase, inclusiv transferul de bani dintr-o aplicație bancară, confirmarea casetelor de dialog, aprobarea ecranelor de autentificare multi-factor, modificarea setărilor sau instalarea de noi aplicații.
În timp ce efectuează aceste acțiuni rău intenționate, Sturnus operează cu un grad ridicat de anonimat. Poate înnegri ecranul dispozitivului (activând suprapunerea neagră) pentru a ascunde activitatea în fundal fără ca victima să știe.
Recomandări de protecție
Pentru a se proteja împotriva Sturnus, utilizatorii de Android ar trebui să ia următoarele măsuri de precauție:
Evitați descărcarea fișierelor APK din afara Google Play sau de la dezvoltatori de aplicații necunoscuți.
Activați întotdeauna Play Protect pentru a scana și elimina amenințările.
Evitați să acordați permisiuni de accesibilitate decât dacă este absolut necesar și verificați aplicațiile instalate pentru permisiunile Serviciului de accesibilitate.
- Videoclip care te-ar putea interesa: Avertisment despre programele malware care fură informații din imagini pe Android și iPhone. Sursa: VTV24.
Sursă: https://doanhnghiepvn.vn/cong-nghe/canh-bao-ma-doc-sturnus-doc-trom-tin-nhan-va-lay-du-lieu-ngan-hang-tren-android/20251128095956316
Comentariu (0)