- 22,251
- 46
- 8 Ноя 2022
Вирус записывает касания, читает интерфейс, управляет экраном и создает идеальный профиль устройства для точечных атак.
Эксперты по кибербезопасности рассказали о новом банковском трояне для Android под названием Sturnus. Он предназначен для кражи учетных данных и полного захвата устройства, что позволяет злоумышленникам проводить финансовое мошенничество практически без участия жертвы.
Одной из ключевых особенностей Sturnus исследователи из ThreatFabric называют умение обходить защиту в зашифрованных мессенджерах. Вредонос не пытается взломать протоколы шифрования, а просто снимает содержимое экрана после расшифровки и может таким образом отслеживать переписку в WhatsApp, Telegram и Signal.
Троян также поддерживает классические overlay-атаки, когда поверх легитимного банковского приложения выводится поддельная форма входа. Пользователь вводит логин и пароль, думая, что авторизуется в приложении банка, а данные сразу уходят злоумышленникам. По данным голландской компании ThreatFabric, Sturnus распространяется приватно и сейчас находится на стадии оценки. Обнаруженные образцы маскируются под приложения Google Chrome с пакетом "com.klivkfbky.izaybebnx" и Preemix Box с пакетом "com.uvxuthoq.noscjahae". Вредонос нацелен на банки Южной и Центральной Европы и использует региональные макеты поддельных экранов.
Название Sturnus выбрано не случайно. Исследователи связывают его с тем, как троян выстраивает связь с управляющими серверами, комбинируя открытый текст и шифрование AES и RSA. Это напоминает европейского скворца Sturnus vulgaris, который использует множество разных свистов и умеет подражать другим звукам.
После запуска троян подключается к удаленному серверу по каналам WebSocket и HTTP, регистрирует устройство и получает зашифрованные команды и дополнительные модули. Отдельный WebSocket-канал используется для удаленного взаимодействия с зараженным устройством во время VNC-сессий, что фактически дает злоумышленникам возможность работать с телефоном так, будто он у них в руках.
Для слежки за действиями пользователя Sturnus активно злоупотребляет службами доступности Android. Он может незаметно считывать нажатия клавиш, записывать взаимодействия с интерфейсом и подсовывать фишинговые экраны банков. Как только жертва вводит логин и пароль на поддельной форме, оверлей для этого конкретного банка отключается, чтобы не вызывать лишних подозрений.
Еще один прием Sturnus связан с полноэкранной подменой интерфейса. Троян способен показать пользователю экран, который имитирует системное обновление Android и полностью блокирует визуальную обратную связь. В этот момент владелец устройства уверен, что идет установка обновления, тогда как на самом деле в фоне могут выполняться операции по переводу денег или настройке удаленного доступа.
Функциональность вредоноса этим не ограничивается. Он может следить за активностью устройства, использовать службы доступности, чтобы собирать содержимое чатов в Signal, Telegram и WhatsApp при их открытии, а также отправлять на сервер подробное описание всех элементов интерфейса, которые видны на экране. Это позволяет операторам трояна воссоздать раскладку экрана у себя, а потом удаленно управлять устройством: нажимать кнопки, вводить текст, прокручивать списки, запускать приложения, подтверждать выдачу разрешений и при необходимости включать черный экран.
Внутри Sturnus есть и альтернативный механизм удаленного управления. Он задействует системный фреймворк захвата изображения дисплея, чтобы транслировать экран устройства в реальном времени. Это еще больше приближает управление к полноценному интерактивному сеансу, в котором злоумышленник видит все то же самое, что и владелец смартфона.
Отдельно исследователи отмечают защиту Sturnus от удаления. Когда пользователь пытается попасть в настройки, где можно забрать у приложения права администратора устройства, троян через мониторинг служб доступности отслеживает переход на такие экраны, находит нужные элементы управления и автоматически переводит пользователя на другую страницу. Пока права администратора не будут вручную отозваны, удалить вредонос обычными средствами или через ADB крайне сложно.
Кроме прямого управления, Sturnus постоянно собирает сведения об окружении устройства. Он может получать данные с датчиков, информацию о состоянии сети, аппаратной платформе и установленных приложениях. Такой профиль устройства используется как постоянный канал обратной связи, который помогает операторам подстраивать свои действия, обходить защиту и уменьшать шанс обнаружения.
По оценке ThreatFabric, сейчас масштабы распространения Sturnus остаются ограниченными, но узкий географический фокус и внимание к банковским приложениям говорят о том, что авторы вредоноса дорабатывают инструменты перед более широким или скоординированным развертыванием атак.
Эксперты по кибербезопасности рассказали о новом банковском трояне для Android под названием Sturnus. Он предназначен для кражи учетных данных и полного захвата устройства, что позволяет злоумышленникам проводить финансовое мошенничество практически без участия жертвы.
Одной из ключевых особенностей Sturnus исследователи из ThreatFabric называют умение обходить защиту в зашифрованных мессенджерах. Вредонос не пытается взломать протоколы шифрования, а просто снимает содержимое экрана после расшифровки и может таким образом отслеживать переписку в WhatsApp, Telegram и Signal.
Троян также поддерживает классические overlay-атаки, когда поверх легитимного банковского приложения выводится поддельная форма входа. Пользователь вводит логин и пароль, думая, что авторизуется в приложении банка, а данные сразу уходят злоумышленникам. По данным голландской компании ThreatFabric, Sturnus распространяется приватно и сейчас находится на стадии оценки. Обнаруженные образцы маскируются под приложения Google Chrome с пакетом "com.klivkfbky.izaybebnx" и Preemix Box с пакетом "com.uvxuthoq.noscjahae". Вредонос нацелен на банки Южной и Центральной Европы и использует региональные макеты поддельных экранов.
Название Sturnus выбрано не случайно. Исследователи связывают его с тем, как троян выстраивает связь с управляющими серверами, комбинируя открытый текст и шифрование AES и RSA. Это напоминает европейского скворца Sturnus vulgaris, который использует множество разных свистов и умеет подражать другим звукам.
После запуска троян подключается к удаленному серверу по каналам WebSocket и HTTP, регистрирует устройство и получает зашифрованные команды и дополнительные модули. Отдельный WebSocket-канал используется для удаленного взаимодействия с зараженным устройством во время VNC-сессий, что фактически дает злоумышленникам возможность работать с телефоном так, будто он у них в руках.
Для слежки за действиями пользователя Sturnus активно злоупотребляет службами доступности Android. Он может незаметно считывать нажатия клавиш, записывать взаимодействия с интерфейсом и подсовывать фишинговые экраны банков. Как только жертва вводит логин и пароль на поддельной форме, оверлей для этого конкретного банка отключается, чтобы не вызывать лишних подозрений.
Еще один прием Sturnus связан с полноэкранной подменой интерфейса. Троян способен показать пользователю экран, который имитирует системное обновление Android и полностью блокирует визуальную обратную связь. В этот момент владелец устройства уверен, что идет установка обновления, тогда как на самом деле в фоне могут выполняться операции по переводу денег или настройке удаленного доступа.
Функциональность вредоноса этим не ограничивается. Он может следить за активностью устройства, использовать службы доступности, чтобы собирать содержимое чатов в Signal, Telegram и WhatsApp при их открытии, а также отправлять на сервер подробное описание всех элементов интерфейса, которые видны на экране. Это позволяет операторам трояна воссоздать раскладку экрана у себя, а потом удаленно управлять устройством: нажимать кнопки, вводить текст, прокручивать списки, запускать приложения, подтверждать выдачу разрешений и при необходимости включать черный экран.
Внутри Sturnus есть и альтернативный механизм удаленного управления. Он задействует системный фреймворк захвата изображения дисплея, чтобы транслировать экран устройства в реальном времени. Это еще больше приближает управление к полноценному интерактивному сеансу, в котором злоумышленник видит все то же самое, что и владелец смартфона.
Отдельно исследователи отмечают защиту Sturnus от удаления. Когда пользователь пытается попасть в настройки, где можно забрать у приложения права администратора устройства, троян через мониторинг служб доступности отслеживает переход на такие экраны, находит нужные элементы управления и автоматически переводит пользователя на другую страницу. Пока права администратора не будут вручную отозваны, удалить вредонос обычными средствами или через ADB крайне сложно.
Кроме прямого управления, Sturnus постоянно собирает сведения об окружении устройства. Он может получать данные с датчиков, информацию о состоянии сети, аппаратной платформе и установленных приложениях. Такой профиль устройства используется как постоянный канал обратной связи, который помогает операторам подстраивать свои действия, обходить защиту и уменьшать шанс обнаружения.
По оценке ThreatFabric, сейчас масштабы распространения Sturnus остаются ограниченными, но узкий географический фокус и внимание к банковским приложениям говорят о том, что авторы вредоноса дорабатывают инструменты перед более широким или скоординированным развертыванием атак.
- Источник новости
- www.securitylab.ru
