Спільнота кібербезпеки привернула увагу до Sturnus, банківський троян для Android Ця загроза поєднує методи фінансового шахрайства з комунікаційним шпигунством. Вона може зчитувати розмови WhatsApp, Telegram або Signal одразу після того, як додатки розшифрують їх на пристрої, а також надає зловмисникам майже повний дистанційний контроль над терміналом.
Дослідники ThreatFabric описують програмне забезпечення повністю функціональний, хоча все ще на ранній стадіїз можливістю красти облікові дані через накладені екрани, записувати натискання клавіш та дистанційно керувати мобільним пристроєм. Наразі його активність була виявлена переважно в Центральній та Південній Європі, де користувачі та фінансові установи повинні бути надзвичайно обережними. інші загрози, такі як PlayPraetor.
Що таке Стурнус і як він працює?
Ключ до успіху Стурнуса полягає в тому, Зловживання Службою доступності Androidщо дозволяє бачити на екрані те саме, що й користувач, і підкреслює важливість керування завантаженням збоку в AndroidТаким чином, коли відкривається месенджер, шкідливе програмне забезпечення чекає появи контенту та захоплює його, фактично обходячи наскрізне шифрування, не порушуючи його.
Окрім шпигунства за чатами, цей троян розгортає атаки з накладанням Ці додатки імітують вхід у мобільний банкінг, щоб викрасти облікові дані. Вони можуть відстежувати, який додаток працює на передньому плані, записувати набраний текст і відображати підроблені форми, щоб обдурити жертв.
Ще одним стовпом арсеналу Стурнуса є його Модуль дистанційного керування типу VNCЧерез зашифрований канал зловмисник може натискати кнопки, друкувати, переміщатися по меню, схвалювати транзакції або змінювати налаштування. Щоб приховати свою активність, вони використовують візуальні трюки, такі як покриття екрана чорним шаром або відображення фальшивого оновлення системи під час роботи у фоновому режимі.
Вплив виходить за рамки крадіжки пароля: можливість читати спільні розмови та документи Це наражає користувачів на додаткові ризики, такі як шантаж або подальше шахрайство, водночас сприяючи прихованим переміщенням на скомпрометованому пристрої.
Вектор зараження та зв'язок із сервером
Виявлені зараження починаються, коли жертва встановлює Шкідливий APK-файл, замаскований під легітимні програминаприклад, Google Chrome або додаток під назвою Preemix Box. Хоча точний метод різниться, спостерігалися фішингові кампанії, і є підозра у використанні шкідливої реклами для збільшення кількості завантажень з-поза меж офіційного магазину.
Усередині Стурнус просить дозволу у Права адміністратора служби доступності та пристроюЗавдяки цій комбінації він може зчитувати текст на екрані, імітувати жести, записувати вхідні дані та надзвичайно ускладнювати своє видалення, залишаючись постійним у системі.
Шкідливе програмне забезпечення виконує початкову реєстрацію у своїй інфраструктурі командування та управління (C2) та встановлює змішані канали зв'язкуВін поєднує обмін відкритим текстом із шифруванням RSA та AES залежно від фази операції. Спостерігалися з'єднання через HTTPS та додатковий канал, що використовує зашифрований WebSocket для команд у режимі реального часу та витоку даних.
Згідно з ThreatFabric, Sturnus демонструє модульна архітектура та сталий розвитокЦя модель, якою нібито керує приватна компанія, сприяє швидким оновленням, інтеграції нових функцій та адаптації до захисних заходів, включаючи тихе встановлення або видалення програм.
Сфера застосування в Європі та заходи захисту
Наразі оператори Sturnus, схоже, зосереджуються на клієнти фінансових установ Центральної та Південної Європиз невеликими обсягами кампаній, що свідчать про фазу тестування перед ширшим розширенням. Тим не менш, спостережувані можливості ставлять його серед найскладніших мобільних загроз, доступних наразі.
Якщо випробування будуть успішними, можливо, шкідливе програмне забезпечення спробує розширити сферу своєї діяльності на інші європейські країни, включаючи іспанський ринок, використовуючи переваги доступу та контролю через екрани для обходу систем безпеки та багатофакторних бар'єрів.
Рекомендації практики щоб зменшити ризик:
- Уникайте встановлення APK-файлів з-поза меж Google Play та будьте обережні з посилання для завантаження, отримані через SMS, електронну пошту або повідомлення.
- Перегляньте та обмежте дозволи Служба доступності суворо необхідні програми.
- Підтримуйте свою систему та програми оновленими та активними Грати в захисті та регулярно перевіряти видані дозволи.
- Активуйте додаткові заходи безпеки банківських операцій: 2FA/MFA, сповіщення про активність та позасмугові перевірки.
Якщо ви щось підозрюєте, краще діяти швидко: відключити дані тимчасово повідомити банк про блокування транзакцій, проаналізувати пристрій за допомогою надійного рішення, скасувати дозволи на доступ і, якщо ознаки не зникають, розглянути можливість скидання налаштувань до заводських та зміни пароля.
Поєднання читання повідомлень після розшифрування, дистанційного керування в реальному часі та переконливі банківські накладки Це робить Стурнуса грізним ворогом. Хоча його агенти все ще діють обережно в Європі, широта його методів вимагає підвищеної пильності та впровадження передового досвіду, перш ніж його кампанії набудуть масштабу.
