新的Sturnus安卓木马正在悄悄在加密聊天软件中传播并劫持设备
该恶意软件的其他功能包括支持监控设备活动,以及利用无障碍服务在受害者打开Signal、Telegram和WhatsApp时收集聊天内容,并发送屏幕上每个可见界面元素的详细信息。
一种名为Sturnus的新型安卓银行木马的详细信息,该木马能够实现凭证盗窃和全面设备接管,实施金融欺诈。
ThreatFabric在与《黑客新闻》分享的一份报告中表示:“一个关键的区别在于其绕过加密消息的能力。”通过在解密后直接从设备屏幕捕获内容,Sturnus可以监控WhatsApp、Telegram和Signal的通信。”
另一个显著特点是它能够通过在银行应用顶部设置假登录界面来发动叠加攻击,以获取受害者的凭证。据这家荷兰移动安防公司介绍,Sturnus为私人运营,目前被评估为评估阶段。
该恶意软件专门针对南欧和中欧的金融机构,并带有区域特定覆盖。
Sturnus这个名字致敬了它混合了明文、AES和RSA的混合交流模式,ThreatFabric将其比作欧洲椋鸟(双名法:Sturnus vulgaris),后者融合了多种口哨声,并且以模仿声而闻名。
木马一旦启动,会通过WebSocket和HTTP通道联系远程服务器,注册设备并接收加密的有效载荷。它还建立了WebSocket通道,允许威胁行为者在虚拟网络计算(VNC)会话中与被攻破的Android设备交互。
除了为银行应用提供虚假叠加界面外,Sturnus还能滥用Android的辅助服务,捕捉键盘输入并记录用户界面(UI)交互。一旦银行的叠加层发送给受害者并收集到凭证,该目标的叠加层会被禁用,以免引起用户怀疑。
此外,它可以显示一个全屏覆盖层,屏蔽所有视觉反馈,并模拟安卓作系统更新界面,给用户一种软件更新正在进行的错觉,实际上它允许恶意行为在后台进行。
该恶意软件的其他功能包括支持监控设备活动,以及利用无障碍服务在受害者打开Signal、Telegram和WhatsApp时收集聊天内容,并发送屏幕上每个可见界面元素的详细信息。
这使得攻击者能够在自己端重建布局,远程执行与点击、文本输入、滚动、应用启动、权限确认,甚至启用黑屏覆盖等作。Sturnus内置的另一种远程控制机制利用系统的显示捕捉框架实时镜像设备屏幕。
“在管理员权限被人工撤销之前,通过像ADB这样的工具进行普通卸载和移除都被阻止,这为恶意软件提供了强大的清理保护。”
广泛的环境监控能力使得能够收集传感器信息、网络状况、硬件数据以及已安装应用的清单。该设备配置构成持续反馈循环,帮助攻击者调整策略规避检测。
ThreatFabric在与《黑客新闻》分享的一份报告中表示:“一个关键的区别在于其绕过加密消息的能力。”通过在解密后直接从设备屏幕捕获内容,Sturnus可以监控WhatsApp、Telegram和Signal的通信。”
另一个显著特点是它能够通过在银行应用顶部设置假登录界面来发动叠加攻击,以获取受害者的凭证。据这家荷兰移动安防公司介绍,Sturnus为私人运营,目前被评估为评估阶段。
该恶意软件专门针对南欧和中欧的金融机构,并带有区域特定覆盖。
Sturnus这个名字致敬了它混合了明文、AES和RSA的混合交流模式,ThreatFabric将其比作欧洲椋鸟(双名法:Sturnus vulgaris),后者融合了多种口哨声,并且以模仿声而闻名。
木马一旦启动,会通过WebSocket和HTTP通道联系远程服务器,注册设备并接收加密的有效载荷。它还建立了WebSocket通道,允许威胁行为者在虚拟网络计算(VNC)会话中与被攻破的Android设备交互。
除了为银行应用提供虚假叠加界面外,Sturnus还能滥用Android的辅助服务,捕捉键盘输入并记录用户界面(UI)交互。一旦银行的叠加层发送给受害者并收集到凭证,该目标的叠加层会被禁用,以免引起用户怀疑。
此外,它可以显示一个全屏覆盖层,屏蔽所有视觉反馈,并模拟安卓作系统更新界面,给用户一种软件更新正在进行的错觉,实际上它允许恶意行为在后台进行。
该恶意软件的其他功能包括支持监控设备活动,以及利用无障碍服务在受害者打开Signal、Telegram和WhatsApp时收集聊天内容,并发送屏幕上每个可见界面元素的详细信息。
这使得攻击者能够在自己端重建布局,远程执行与点击、文本输入、滚动、应用启动、权限确认,甚至启用黑屏覆盖等作。Sturnus内置的另一种远程控制机制利用系统的显示捕捉框架实时镜像设备屏幕。
“在管理员权限被人工撤销之前,通过像ADB这样的工具进行普通卸载和移除都被阻止,这为恶意软件提供了强大的清理保护。”
广泛的环境监控能力使得能够收集传感器信息、网络状况、硬件数据以及已安装应用的清单。该设备配置构成持续反馈循环,帮助攻击者调整策略规避检测。
关于作者
评论0次