Вредоносное ПО Sturnus способно читать зашифрованные сообщения в WhatsApp, Signal и Telegram. Фото: CyberInsider.
Согласно отчёту ThreatFabric, Sturnus был замечен в целевых атаках, направленных преимущественно на пользователей из Южной и Центральной Европы. Исследователи полагают, что вредоносная программа всё ещё находится на ранней стадии разработки и, вероятно, используется спорадически для тестирования, а не в масштабных кампаниях. Однако её «масштабируемая» архитектура делает её опасной угрозой, на которую стоит обратить внимание.
Путь заражения
Процесс заражения начинается, когда пользователи загружают вредоносные APK-файлы Android (приложения, скачанные с неофициальных сайтов, не из магазина Google Play). Эти APK-файлы часто маскируются под легитимные приложения, такие как Google Chrome или Preemix Box, и пользователи непреднамеренно устанавливают сторонние приложения, содержащие этот Sturnus.
После установки Sturnus создает зашифрованный HTTPS-канал для передачи команд и утечки данных.
Когда пользователь открывает защищённое приложение для обмена сообщениями, вредоносная программа обнаруживает его и запускает конвейер UI-tree. Эта система позволяет Sturnus считывать все данные, отображаемые на экране, в режиме реального времени, включая имя отправителя, содержание сообщения и временную метку. Поскольку этот мониторинг осуществляется локально, он отключает защиту, предоставляемую такими протоколами, как Signal Protocol. Это происходит без явного предупреждения пользователя, и интерфейс приложения выглядит нормально. Это и есть самая тревожная особенность.
Кроме того, Sturnus получает права администратора на устройствах Android, что позволяет ему отслеживать изменения паролей и попытки разблокировки, а также удалённо блокировать устройство. Вредоносная программа также не позволяет пользователям лишать себя прав или удалять программное обеспечение с устройства.
Изощренная кража банковской информации
Sturnus может красть банковские данные через поддельные экраны входа, используя HTML-оверлеи, имитирующие легитимные банковские приложения. Эти оверлеи хранятся локально и адаптируются под конкретные финансовые учреждения.
Вредоносное ПО предоставляет злоумышленникам полный удалённый контроль в режиме реального времени. Удалённый контроль позволяет злоумышленникам отслеживать все действия пользователя, вводить текст без физического взаимодействия, совершать мошеннические транзакции, включая перевод денег из банковского приложения, подтверждение диалоговых окон, одобрение экранов многофакторной аутентификации, изменение настроек или установку новых приложений.
Выполняя эти вредоносные действия, Sturnus действует с высокой степенью анонимности. Он может затемнять экран устройства (активируя чёрный слой), чтобы скрыть свою фоновую активность без ведома жертвы.
Рекомендации по защите
Чтобы защититься от Sturnus, пользователям Android следует принять следующие меры предосторожности:
Избегайте загрузки APK-файлов извне Google Play или от неизвестных разработчиков приложений.
Всегда включайте Play Protect для сканирования и удаления угроз.
Не предоставляйте разрешения на доступ к специальным возможностям, если в этом нет крайней необходимости, и проверьте установленные приложения на наличие разрешений для служб специальных возможностей.
- Видео, которое может вас заинтересовать: Предупреждение о вредоносном ПО, крадущем информацию из изображений на Android и iPhone. Источник: VTV24.
Источник: https://doanhnghiepvn.vn/cong-nghe/canh-bao-ma-doc-sturnus-doc-trom-tin-nhan-va-lay-du-lieu-ngan-hang-tren-android/20251128095956316
Комментарий (0)