Skadlig programvara som heter Sturnus kan läsa krypterade meddelanden i Whatsapp, Signal och Telegram. Foto: CyberInsider.
Enligt en rapport från ThreatFabric har Sturnus observerats i riktade attacker, främst riktade mot användare i södra och centrala Europa. Forskare tror att skadlig programvara fortfarande är i ett tidigt utvecklingsstadium och troligen distribueras sporadiskt för testning snarare än i storskaliga kampanjer. Dess "skalbara" arkitektur gör den dock till ett farligt hot att se upp för.
Infektionssätt
Infektionsprocessen börjar när användare laddar ner skadliga Android APK-filer (applikationer som laddats ner från inofficiella webbplatser utanför Google Play-butiken). Dessa APK-filer är ofta förklädda till legitima applikationer, till exempel Google Chrome eller Preemix Box, och användare installerar oavsiktligt tredjepartsapplikationer som innehåller denna Sturnus.
När Sturnus är installerat etablerar den en krypterad HTTPS-kanal för att överföra kommandon och läcka data.
När en användare öppnar en säker meddelandeapp upptäcker skadlig kod appen och utlöser UI-tree-pipelinen. Detta system gör det möjligt för Sturnus att läsa all data som visas på skärmen i realtid, inklusive avsändarens namn, meddelandeinnehåll och tidsstämpel. Eftersom denna övervakning sker lokalt inaktiveras skyddet som tillhandahålls av protokoll som Signal Protocol. Detta sker utan någon uppenbar varning till användaren, och appgränssnittet verkar normalt. Detta är också den mest alarmerande funktionen.
Dessutom får Sturnus administratörsbehörighet på Android-enheter, vilket gör att den kan övervaka lösenordsändringar och upplåsningsförsök, samt fjärrlåsa enheten. Skadlig programvara är också utformad för att förhindra att användare tar bort behörigheter eller avinstallerar programvara från enheten.
Sofistikerad stöld av bankinformation
Sturnus kan stjäla bankuppgifter via falska inloggningsskärmar med hjälp av HTML-överlägg som imiterar legitima bankapplikationer. Dessa överlägg lagras lokalt och är anpassade till specifika finansinstitut.
Skadlig programvara ger angripare fullständig fjärrkontroll i realtid. Fjärrkontrollen gör det möjligt för angripare att övervaka all användaraktivitet, infoga text utan fysisk interaktion, utföra bedrägliga transaktioner, inklusive att överföra pengar från en bankapp, bekräfta dialogrutor, godkänna skärmar med flerfaktorsautentisering, ändra inställningar eller installera nya appar.
Medan Sturnus utför dessa skadliga handlingar arbetar den med en hög grad av anonymitet. Den kan svärta enhetens skärm (aktivera det svarta överlägget) för att dölja sin pågående bakgrundsaktivitet utan att offret vet om det.
Skyddsrekommendationer
För att skydda sig mot Sturnus bör Android-användare vidta följande försiktighetsåtgärder:
Undvik att ladda ner APK-filer från platser utanför Google Play eller från okända apputvecklare.
Aktivera alltid Play Protect för att skanna och ta bort hot.
Undvik att ge tillgänglighetsbehörigheter om det inte är absolut nödvändigt och kontrollera installerade appar för behörigheter för tillgänglighetstjänsten.
- Video du kanske är intresserad av: Varning om skadlig programvara som stjäl information från bilder på Android och iPhone. Källa: VTV24
Källa: https://doanhnghiepvn.vn/cong-nghe/canh-bao-ma-doc-sturnus-doc-trom-tin-nhan-va-lay-du-lieu-ngan-hang-tren-android/20251128095956316
Kommentar (0)