Η κοινότητα της κυβερνοασφάλειας έχει εστιάσει την προσοχή της Sturnus, ένα τραπεζικό trojan για Android Αυτή η απειλή συνδυάζει τεχνικές οικονομικής απάτης με κατασκοπεία επικοινωνιών. Μπορεί να διαβάσει συνομιλίες στο WhatsApp, το Telegram ή το Signal αμέσως μόλις οι εφαρμογές τις αποκρυπτογραφήσουν στη συσκευή, και επίσης δίνει στους εισβολείς σχεδόν πλήρη τηλεχειρισμό του τερματικού.
Οι ερευνητές του ThreatFabric περιγράφουν ένα λογισμικό πλήρως λειτουργικό, αν και σε αρχικό στάδιομε τη δυνατότητα κλοπής διαπιστευτηρίων μέσω οθονών επικάλυψης, καταγραφής πληκτρολογήσεων και απομακρυσμένου χειρισμού της κινητής συσκευής. Μέχρι στιγμής, η δραστηριότητά του έχει εντοπιστεί κυρίως στην Κεντρική και Νότια Ευρώπη, ένα περιβάλλον όπου οι χρήστες και τα χρηματοπιστωτικά ιδρύματα πρέπει να επιδεικνύουν εξαιρετική προσοχή. άλλες απειλές όπως το PlayPraetor.
Τι είναι το Sturnus και πώς λειτουργεί;
Το κλειδί της επιτυχίας του Sturnus βρίσκεται στο Κατάχρηση της Υπηρεσίας Προσβασιμότητας Androidτο οποίο σας επιτρέπει να βλέπετε το ίδιο πράγμα με τον χρήστη στην οθόνη και υπογραμμίζει τη σημασία του έλεγχος της πλευρικής φόρτωσης στο AndroidΈτσι, όταν ανοίγει μια εφαρμογή ανταλλαγής μηνυμάτων, το κακόβουλο λογισμικό περιμένει να εμφανιστεί το περιεχόμενο και το καταγράφει, παρακάμπτοντας αποτελεσματικά την κρυπτογράφηση από άκρο σε άκρο χωρίς να την παραβιάζει.
Εκτός από την κατασκοπεία στις συνομιλίες, αυτό το Trojan αναπτύσσεται επιθέσεις επικάλυψης Αυτές οι εφαρμογές μιμούνται τις συνδέσεις μέσω mobile banking για να κλέψουν διαπιστευτήρια. Μπορούν να παρακολουθούν ποια εφαρμογή βρίσκεται στο προσκήνιο, να καταγράφουν πληκτρολογημένο κείμενο και να εμφανίζουν ψεύτικες φόρμες για να ξεγελάσουν τα θύματα.
Ένας άλλος πυλώνας του οπλοστασίου του Στούρνους είναι το Μονάδα τηλεχειρισμού τύπου VNCΜέσω ενός κρυπτογραφημένου καναλιού, ο εισβολέας μπορεί να πατήσει κουμπιά, να πληκτρολογήσει, να πλοηγηθεί σε μενού, να εγκρίνει συναλλαγές ή να αλλάξει ρυθμίσεις. Για να αποκρύψουν τη δραστηριότητά τους, χρησιμοποιούν οπτικά κόλπα, όπως η κάλυψη της οθόνης με μια μαύρη επικάλυψη ή η εμφάνιση μιας ψεύτικης ενημέρωσης συστήματος ενώ λειτουργούν στο παρασκήνιο.
Ο αντίκτυπος υπερβαίνει την κλοπή κωδικού πρόσβασης: η πιθανότητα διαβάστε κοινόχρηστες συνομιλίες και έγγραφα Εκθέτει τους χρήστες σε πρόσθετους κινδύνους, όπως εκβιασμό ή επακόλουθη απάτη, ενώ παράλληλα διευκολύνει τις κρυφές κινήσεις εντός της παραβιασμένης συσκευής.
Φορέας μόλυνσης και επικοινωνία με τον διακομιστή
Οι ανιχνευόμενες μολύνσεις ξεκινούν όταν το θύμα εγκαθιστά ένα Κακόβουλο APK καμουφλαρισμένο ως νόμιμες εφαρμογέςόπως το Google Chrome ή μια εφαρμογή που ονομάζεται Preemix Box. Παρόλο που η ακριβής μέθοδος ποικίλλει, έχουν παρατηρηθεί καμπάνιες ηλεκτρονικού "ψαρέματος" (phishing) και υπάρχει υποψία για τη χρήση κακόβουλων διαφημίσεων για την αύξηση των λήψεων από εκτός του επίσημου καταστήματος.
Μόλις μπήκε μέσα, ο Στούρνος ζητά άδεια από τον Υπηρεσία Προσβασιμότητας και Δικαιώματα Διαχειριστή ΣυσκευώνΜε αυτόν τον συνδυασμό, μπορεί να διαβάσει κείμενο στην οθόνη, να προσομοιώσει χειρονομίες, να καταγράψει εισόδους και να κάνει την απεγκατάστασή του εξαιρετικά δύσκολη, παραμένοντας επίμονο στο σύστημα.
Το κακόβουλο λογισμικό εκτελεί μια αρχική εγγραφή με την υποδομή εντολών και ελέγχου (C2) και δημιουργεί μικτά κανάλια επικοινωνίαςΣυνδυάζει ανταλλαγές απλού κειμένου με κρυπτογράφηση RSA και AES ανάλογα με τη φάση της λειτουργίας. Έχουν παρατηρηθεί συνδέσεις μέσω HTTPS και ενός πρόσθετου καναλιού που χρησιμοποιεί κρυπτογραφημένο WebSocket για εντολές σε πραγματικό χρόνο και εξαγωγή δεδομένων.
Σύμφωνα με το ThreatFabric, ο Sturnus εμφανίζει ένα αρθρωτή αρχιτεκτονική και βιώσιμη ανάπτυξηΑυτό το μοντέλο, το οποίο φέρεται να διαχειρίζεται μια ιδιωτική εταιρεία, διευκολύνει τις γρήγορες ενημερώσεις, την ενσωμάτωση νέων λειτουργιών και την προσαρμογή σε αμυντικά μέτρα, συμπεριλαμβανομένης της σιωπηρής εγκατάστασης ή αφαίρεσης εφαρμογών.
Πεδίο εφαρμογής στην Ευρώπη και μέτρα προστασίας
Προς το παρόν, οι χειριστές του Sturnus φαίνεται να επικεντρώνονται πελάτες χρηματοπιστωτικών ιδρυμάτων στην Κεντρική και Νότια Ευρώπημε τις καμπάνιες χαμηλού όγκου να υποδηλώνουν μια φάση δοκιμών πριν από την ευρύτερη επέκταση. Παρ 'όλα αυτά, οι παρατηρούμενες δυνατότητες το κατατάσσουν μεταξύ των πιο σύνθετων απειλών για κινητά που διατίθενται αυτήν τη στιγμή.
Εάν οι δοκιμές είναι επιτυχείς, είναι πιθανό το κακόβουλο λογισμικό να επιχειρήσει επεκτείνει το πεδίο δράσης του σε άλλες ευρωπαϊκές χώρες, συμπεριλαμβανομένης της ισπανικής αγοράς, εκμεταλλευόμενη την πρόσβαση και τους ελέγχους οθόνης για να παρακάμψει τα εμπόδια ασφαλείας και τους πολυπαραγοντικούς φραγμούς.
Συστάσεις πρακτικές για τη μείωση του κινδύνου:
- Αποφύγετε την εγκατάσταση APK εκτός του Google Play και να είστε επιφυλακτικοί με σύνδεσμοι λήψης που λαμβάνονται μέσω SMS, email ή μηνυμάτων.
- Ελέγξτε και περιορίστε τα δικαιώματα των Υπηρεσία Προσβασιμότητας απολύτως απαραίτητες εφαρμογές.
- Διατηρήστε το σύστημα και τις εφαρμογές σας ενημερωμένες και ενεργές Αναπαραγωγή Προστατέψτε και να ελέγχετε τακτικά τις άδειες που χορηγούνται.
- Ενεργοποιήστε πρόσθετα μέτρα ασφαλείας τραπεζικών συναλλαγών: 2FA/MFA, ειδοποιήσεις δραστηριότητας και επικυρώσεις εκτός ζώνης.
Αν υποψιάζεστε κάτι, είναι καλύτερο να δράσετε γρήγορα: αποσύνδεση δεδομένων προσωρινά, ειδοποιήστε την τράπεζα να μπλοκάρει συναλλαγές, αναλύστε τη συσκευή με μια αξιόπιστη λύση, ανακαλέστε τα δικαιώματα προσβασιμότητας και, εάν οι ενδείξεις επιμένουν, σκεφτείτε να κάνετε επαναφορά εργοστασιακών ρυθμίσεων και αλλαγή κωδικών πρόσβασης.
Ο συνδυασμός ανάγνωσης μηνυμάτων μετά την αποκρυπτογράφηση, ζωντανού τηλεχειρισμού και πειστικές επικαλύψεις τραπεζών Αυτό καθιστά τον Sturnus έναν τρομερό εχθρό. Παρόλο που οι πράκτορές του εξακολουθούν να προχωρούν με προσοχή στην Ευρώπη, το εύρος των τεχνικών του απαιτεί αυξημένη επαγρύπνηση και εφαρμογή βέλτιστων πρακτικών πριν οι εκστρατείες του αποκτήσουν κλίμακα.
