Sturnus:一款针对安卓系统的银行木马,它会监视聊天记录并控制您的设备。

  • Sturnus 滥用访问权限,在解密后读取 WhatsApp、Telegram 和 Signal 上的消息。
  • 它结合了银行界面叠加、键盘记录和 VNC 型远程控制。
  • 它以虚假应用程序(例如 Chrome)的形式分发,并使用 RSA/AES 与 C2 通信。
  • 此次行动主要针对中欧和南欧,可能对西班牙产生影响。
Tablet Zona

5分钟

Sturnus 安卓银行木马

ThreatFabric 的研究人员已经发出警告。 “Sturnus”是一款针对安卓系统的新型银行木马。 该系统目前已在试运行阶段,但功能已完全成熟。此次观察的活动重点是 中欧和南欧的金融机构如果分布范围扩大,地理范围甚至可能延伸到西班牙。

案件的关键在于斯特纳斯 读取加密应用程序中的对话 它像 WhatsApp、Telegram 或 Signal 一样,无需破解加密技术即可获取内容:它利用辅助功能服务来捕获内容。 después 合法的应用程序会对其进行解密并将其显示在屏幕上。除此之外, 银行叠加心率监测和实时远程控制。

Sturnus是什么?它为何令人担忧?

Sturnus 安卓银行恶意软件

Sturnus 是 多重威胁银行木马 这款安卓应用集通信窃听、凭证窃取和设备完全控制于一体。它并非通过加密攻击读取消息,而是…… 看到与用户相同的内容 得益于辅助功能权限,屏幕内容得以显示。

除了拦截聊天记录之外, 显示假屏幕 模仿银行应用程序登录并捕获凭证,这是一种经典的“叠加”技术,在这种情况下,它因其能够……而得到加强。 阻止卸载 并坚持不懈。

根据 ThreatFabric 的说法,该恶意软件 它仍在发展中但它已经可以正常运行,并展示了一种模块化架构,具有开展更大规模行动的潜力。目前,运营商正在维护一个 低容量活动这表明他们在扩充武器库之前,正在测试和完善现有武器库。

如何安装并与运营商进行通信

Android 设备上的恶意 APK 感染

观察到的感染源自 伪装成热门应用的恶意 APK有些案例模仿谷歌浏览器或类似名称(例如 Preemix Box)。确切的攻击路径并不总是很清晰: 恶意广告和直接链接发送 (短信、邮件或即时通讯)是可行的送达方式。

陷阱应用程序安装完毕后,Sturnus 会请求 无障碍权限 并与命令与控制 (C2) 服务器建立联系。初始注册和数据流使用 混合频道HTTPS 和 WebSocket,以及它们的组合 RSA、AES 和明文 根据具体操作情况,这为沟通带来了灵活性和弹性。

这种设计使得攻击者能够 发送命令接收窃取的数据并实时激活模块,在测试符合欧洲目标的功能时保持低调。

无需破坏加密即可访问 WhatsApp、Telegram 和 Signal

Android 上的消息拦截

斯特努斯的显著特征是滥用 无障碍服务有了这种许可,恶意软件就可以 阅读屏幕上的文字识别界面元素、滚动、按下按钮,并检测在任何给定时间哪个应用程序处于活动状态。

实际上,当受害者打开 WhatsApp、Telegram 或 Signal 时,如果内容已被本地解密,Sturnus 就会介入。 捕获消息、联系人姓名和对话 内容会原封不动地显示在屏幕上,完全绕过了端到端加密的保证。

  • 检测到 打开即时通讯应用 它在前台激活。
  • 所有渲染后的文本 在应用程序界面中。
  • 现在解读内容 实时解密.
  • 它会记录敏感数据,例如 线程、通知和代码.

这种能力不仅影响隐私,它还会暴露隐私。 验证码 如果设备被入侵,还会泄露高价值数据,从而助长欺诈行为。

远程控制和金融诈骗技术

Android 上的 VNC 型远程控制

该木马包含一个模块,用于 实时远程控制 (类似于 VNC)允许操作员控制手机:输入文字、浏览应用程序、批准操作或更改设置,所有这些都由辅助功能权限支持。

为了在不引起怀疑的情况下实施行动,攻击者可以表现出 黑色覆盖层 或者一个伪造的屏幕 “升级系统” 在执行传输、安装其他模块或调整关键设置时。

在银行业务部分,Sturnus 展示了 虚假登录界面 (HTML 叠加层)模仿欧洲机构的应用程序。如果用户输入数据,凭据会立即通过以下方式发送到 C2 服务器: 加密通道.

该恶意软件还会请求 设备管理员权限阻碍其移除,并使撤销许可证变得复杂,从而确保即使受害者试图重新获得控制权,其仍然存在。

在欧洲的影响以及如何降低安卓系统的风险

防范银行木马

观察到的模板和目标表明 中欧和南欧的机构并有可能推广到包括西班牙在内的其他欧盟国家。目前,推广范围有限,但 技术能力 预计会有更广泛的宣传活动。

为了最大限度地降低风险,这一点至关重要。 避免安装APK文件 除了 Google Play 之外,还要警惕那些无故要求提供辅助功能的应用,并且要保持这种状态。 Play Protect 和更新后的系统 已安装最新补丁。

  • 定期检查哪些应用有 无障碍 以及设备管理员。
  • 要警惕链接 短信、电子邮件或即时通讯 鼓励安装应用程序。
  • 启用警报 银行和银行卡 检测未经授权的交易。
  • 在企业环境中,它强化了MDM/EMM策略; 侧装限制.

Sturnus的战术表明,攻击者正在寻找 绕过生态系统自身的防御机制 移动设备利用旨在提供辅助功能的权限,模糊了远程支持和滥用之间的界限。

具有不寻常的组合 聊天窃听、叠加欺诈和远程控制Sturnus 代表了安卓系统银行恶意软件领域的一次重大飞跃。尽管其目前的传播范围有限,主要集中在欧洲,但其技术准备和持续测试工作仍需高度警惕。 避免使用第三方 APK,检查权限,并保持设备系统更新。 它可能会对未来的竞选活动产生影响。

恶意软件
相关文章:
银行木马。 针对 Android 的最常见攻击