WhatsApp, Telegram, Signal: Nijedna aplikacija nije sigurna od ovog trojanca!
Novi Android bankarski trojanac, nazvan Sturnus, izaziva zabrinutost zbog sposobnosti da zaobiđe zaštitu enkriptovanih aplikacija poput WhatsApp-a, Telegram-a i Signal-a. Umesto da probija enkripcioni protokol, koristi Android Accessibility Services da čita podatke direktno sa ekrana korisnika nakon što su poruke dekriptovane. Ovo omogućava malveru da u realnom vremenu prati razgovore, kontakte i ceo sadržaj poruka.
Istraživači bezbednosti iz ThreatFabric-a navode da je Sturnus još uvek u fazi testiranja, ali već pokazuje sposobnosti koje nadmašuju mnoge uspostavljene malvere. Njegova tehnička sofisticiranost, uključujući napredni komunikacioni protokol i široku podršku za uređaje, sugeriše da napadači pripremaju široku distribuciju.
Sturnus širi svoje ciljeve širom Evrope
Istraživači su otkrili da je Sturnus unapred konfigurisan sa ciljevima među finansijskim institucijama u južnoj i centralnoj Evropi. Ovaj nivo pripreme ukazuje da kriminalci uskoro mogu proširiti njegov domet, potencijalno ugrožavajući veći broj korisnika kada testiranja budu završena.
Trojanac je takođe dizajniran da traje dugo. ThreatFabric navodi da njegova arhitektura u nekim aspektima nadmašuje dugotrajne Android malvere. Ova kombinacija ranog ciljanog delovanja i naprednih sposobnosti naglašava ozbiljnost pretnje.
Kako malver preuzima kontrolu
Sturnus je dobio ime po Sturnus vulgaris, evropskoj ptici drozdi poznatoj po brzim i nepravilnim vokalnim obrascima. Istraživači su napravili paralelu jer komunikacioni protokol malvera nasumično menja složenost poruka, imitirajući haotičan “cvrkut” ptice.
Da bi zarazio korisnike, Sturnus se kamuflira kao pouzdane aplikacije poput “Google Chrome” ili “Preemix Box”. Kada se instalira, pažljivo prati koja aplikacija je aktivna. Kada korisnik otvori ciljani messenger, automatski pokreće proces prikupljanja UI stabla i izvlači informacije sa ekrana.
Tehnike prevare - lažni ekrani i “crni ekran”
Sturnus je dizajniran za finansijsku prevaru i koristi dve glavne taktike za krađu bankarskih podataka. Prva je upotreba lažnih ekrana za prijavu preko legitimnih bankarskih aplikacija. Ovi ekrani varaju korisnike da unesu svoje korisničko ime i lozinku, koje potom direktno dobijaju napadači.
Druga metoda poznata je kao “crni ekran”. Kada kriminalci žele da izvrše neovlašćene transakcije na daljinu, aktiviraju crni overlay preko celog ekrana koji korisniku stvara utisak da je uređaj isključen ili u stanju mirovanja. U stvarnosti, telefon ostaje aktivan, omogućavajući napadačima da tiho upravljaju uređajem i prazne račune korisnika.
Kako malver izbegava detekciju i deinstalaciju
Kada se instalira, Sturnus agresivno brani svoju poziciju na uređaju. Koristeći Android Administrator privilegije, blokira pokušaje deinstalacije. Takođe prati indikatore poput baterije, senzora i mrežnog statusa da bi procenio da li ga istražuju bezbednosni stručnjaci, i u skladu s tim menja svoje ponašanje.
Ako korisnik pokuša da ukloni privilegije ili deinstalira aplikaciju, malver to detektuje i automatski pokreće komande kao što je “nazad” da zatvori prozor. Prema istraživačima, ovaj visok nivo svesti o okruženju omogućava Sturnusu da ostane otporan i dugoročno na zaraženim uređajima.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
BONUS VIDEO:
Bankomat koji topi zlato