Шкідливе програмне забезпечення Sturnus здатне зчитувати зашифровані повідомлення в Whatsapp, Signal та Telegram. Фото: CyberInsider.
Згідно зі звітом ThreatFabric, Sturnus спостерігався під час цілеспрямованих атак, спрямованих переважно на користувачів у Південній та Центральній Європі. Дослідники вважають, що це шкідливе програмне забезпечення все ще перебуває на ранніх стадіях розробки, ймовірно, його використовують епізодично для тестування, а не у масштабних кампаніях. Однак його «масштабована» архітектура робить його небезпечною загрозою, на яку варто звернути увагу.
Спосіб зараження
Процес зараження починається, коли користувачі завантажують шкідливі APK-файли Android (додатки, завантажені з неофіційних веб-сайтів, поза магазином Google Play). Ці APK-файли часто маскуються під легітимні програми, такі як Google Chrome або Preemix Box, і користувачі мимоволі встановлюють сторонні програми, що містять цей Sturnus.
Після встановлення Sturnus встановлює зашифрований HTTPS-канал для передачі команд та витоку даних.
Коли користувач відкриває захищений месенджер, шкідливе програмне забезпечення виявляє його та запускає конвеєр дерева інтерфейсу користувача. Ця система дозволяє Sturnus зчитувати всі дані, що відображаються на екрані, у режимі реального часу, включаючи ім'я відправника, вміст повідомлення та позначку часу. Оскільки цей моніторинг здійснюється локально, він вимикає захист, що забезпечується такими протоколами, як Signal Protocol. Це відбувається без будь-якого очевидного попередження для користувача, а інтерфейс програми виглядає нормально. Це також найтривожніша особливість.
Крім того, Sturnus отримує права адміністратора на пристроях Android, що дозволяє йому відстежувати зміну паролів та спроби розблокування, а також дистанційно блокувати пристрій. Шкідливе програмне забезпечення також розроблено для того, щоб запобігти видаленню прав користувачами або видаленню програмного забезпечення з пристрою.
Витончена крадіжка банківської інформації
Sturnus може красти банківські облікові дані через підроблені екрани входу, використовуючи HTML-оверлеї, що імітують легітимні банківські програми. Ці оверлеї зберігаються локально та адаптовані до конкретних фінансових установ.
Це шкідливе програмне забезпечення надає зловмисникам повний дистанційний контроль у режимі реального часу. Дистанційне керування дозволяє зловмисникам відстежувати всі дії користувачів, вставляти текст без фізичної взаємодії, здійснювати шахрайські транзакції, включаючи переказ грошей з банківського додатка, підтвердження діалогових вікон, схвалення екранів багатофакторної автентифікації, зміну налаштувань або встановлення нових додатків.
Виконуючи ці шкідливі дії, Sturnus працює з високим ступенем анонімності. Він може затемнювати екран пристрою (активуючи чорне накладання), щоб приховати свою поточну фонову активність без відома жертви.
Рекомендації щодо захисту
Щоб захиститися від Sturnus, користувачам Android слід вжити таких запобіжних заходів:
Уникайте завантаження APK-файлів з-за меж Google Play або від невідомих розробників програм.
Завжди вмикайте Play Protect для сканування та видалення загроз.
Уникайте надання дозволів на доступність, якщо це не є абсолютно необхідним, і перевіряйте встановлені програми на наявність дозволів служби доступності.
- Відео, яке може вас зацікавити: Попередження про шкідливе програмне забезпечення, яке краде інформацію із зображень на Android та iPhone. Джерело: VTV24.
Джерело: https://doanhnghiepvn.vn/cong-nghe/canh-bao-ma-doc-sturnus-doc-trom-tin-nhan-va-lay-du-lieu-ngan-hang-tren-android/20251128095956316
Коментар (0)