Публикувано на: 2025-11-20 13:04:00 | Източник: thehackernews.com
Изследователите на киберсигурността разкриха подробности за нов банков троян за Android, наречен Стурнус което позволява кражба на идентификационни данни и пълно превземане на устройството за извършване на финансови измами.
„Ключова разлика е способността му да заобикаля криптираните съобщения“, каза ThreatFabric в доклад, споделен с The Hacker News. „Чрез заснемане на съдържание директно от екрана на устройството след дешифриране, Sturnus може да наблюдава комуникациите чрез WhatsApp, Telegram и Signal.“
Друга забележителна характеристика е способността му да организира атаки с наслагване, като обслужва фалшиви екрани за влизане върху банкови приложения, за да улови идентификационните данни на жертвите. Според холандската компания за мобилна сигурност Sturnus е частна и в момента се оценява като в етап на оценка. Артефактите, разпространяващи банковия зловреден софтуер, са изброени по-долу –
- Google Chrome („com.klivkfbky.izaybebnx“)
- Кутия за предварително смесване („com.uvxuthoq.noscjahae“)
Злонамереният софтуер е проектиран да отделя конкретно финансови институции в Южна и Централна Европа със специфични за региона наслагвания.
Името Sturnus е намек към използването му на смесен комуникационен модел, смесващ обикновен текст, AES и RSA, като ThreatFabric го оприличава на европейския скорец (биномиално име: Sturnus vulgaris), който включва различни свирки и е известно, че е вокална мимика.
Веднъж стартиран, троянският кон се свързва с отдалечен сървър през WebSocket и HTTP канали, за да регистрира устройството и да получи криптирани полезни данни в замяна. Той също така установява WebSocket канал, за да позволи на участниците в заплахата да взаимодействат с компрометираното Android устройство по време на сесии на Virtual Network Computing (VNC).
Освен че обслужва фалшиви наслагвания за банкови приложения, Sturnus също е способен да злоупотребява с услугите за достъпност на Android, за да улови натискания на клавиши и да записва взаимодействия с потребителския интерфейс (UI). Веднага след като наслагването за дадена банка се сервира на жертвата и идентификационните данни бъдат събрани, наслагването за тази конкретна цел се деактивира, за да не събуди подозрението на потребителя.
Освен това може да показва наслагване на цял екран, което блокира цялата визуална обратна връзка и имитира екрана за актуализация на операционната система Android, за да създаде впечатлението на потребителя, че се извършват актуализации на софтуера, когато в действителност позволява злонамерени действия да се извършват във фонов режим.
Някои от другите функции на зловреден софтуер включват поддръжка за наблюдение на активността на устройството, както и използване на услуги за достъпност за събиране на съдържание за чат от Signal, Telegram и WhatsApp, когато са отворени от жертвата, и изпращане на подробности за всеки видим елемент на интерфейса на екрана.
Това позволява на атакуващите да реконструират оформлението в своя край и дистанционно да извършват действия, свързани с кликвания, въвеждане на текст, превъртане, стартиране на приложения, потвърждения на разрешения и дори да активират наслагване на черен екран. Алтернативен механизъм за дистанционно управление, пакетиран в Sturnus, използва рамката за заснемане на дисплея на системата, за да отразява екрана на устройството в реално време.
„Винаги, когато потребителят навигира до екрани с настройки, които биха могли да деактивират статуса му на администратор, злонамереният софтуер открива опита чрез наблюдение на достъпността, идентифицира съответните контроли и автоматично навигира далеч от страницата, за да прекъсне потребителя“, каза ThreatFabric.
„Докато администраторските му права не бъдат отменени ръчно, както обикновеното деинсталиране, така и премахването чрез инструменти като ADB са блокирани, което дава на зловреден софтуер силна защита срещу опити за почистване.“
Обширните възможности за наблюдение на околната среда правят възможно събирането на информация от сензори, мрежови условия, хардуерни данни и опис на инсталираните приложения. Този профил на устройството служи като непрекъсната верига за обратна връзка, помагайки на нападателите да адаптират тактиката си за странично откриване.
„Въпреки че разпространението остава ограничено на този етап, комбинацията от целенасочена география и фокус върху приложения с висока стойност предполага, че нападателите усъвършенстват своите инструменти преди по-широки или по-координирани операции“, каза ThreatFabric.
Хаштагове: #Нов #троянски #кон #Sturnus #за #Android #тихо #улавя #криптирани #чатове #отвлича #устройства