Telegram中文网讯:Android 木马程序 Sturnus 的目标是攻击 WhatsApp、Telegram 和 Signal 等安全通讯应用程序的通信。
Sturnus 是一款新型安卓银行木马,具备完全控制设备的能力。它通过捕获屏幕内容绕过加密通信,可以窃取银行凭证、远程控制设备,并对用户隐藏欺诈行为。
ThreatFabric 的分析显示,Sturnus 恶意软件仍在开发中或目前处于有限的测试阶段。然而,该恶意软件已开始攻击南欧和中欧的金融机构,这表明攻击者正在为更大规模的攻击活动做准备。该恶意软件功能齐全,在通信协议和设备支持方面超越了现有的恶意软件家族。证据表明,攻击者正针对 WhatsApp、Telegram 和 Signal 等安全通讯应用发起短期、间歇性的攻击活动,并使用特定区域的模板。攻击者正在积极改进用于捕获敏感通信的工具,为更协调、更大规模的攻击行动做准备。
ThreatFabric 发布的报告指出:“除了银行应用程序外,Sturnus 还会监控前台应用程序,并在受害者打开 WhatsApp、Signal 或 Telegram 等加密消息服务时自动激活其 UI 树收集功能。”
这段恶意代码模仿了普通椋鸟(Sturnus vulgaris)不规则的鸣叫,在明文、RSA 和 AES 消息之间无规律地切换。它通过 HTTP POST 请求注册设备,接收 UUID 和 RSA 密钥,然后生成一个本地 AES-256 密钥,用 RSA 对其进行加密,并以 Base64 编码存储。密钥交换后,它使用 AES/CBC/PKCS5Padding 对所有消息进行加密,并在消息前添加一个新的初始化向量 (IV),最后将数据封装在一个自定义的数据包中。
Sturnus 通过两种相互关联的机制窃取数据:HTML 覆盖层和基于辅助功能的键盘记录。它存储针对特定银行应用程序的钓鱼模板,并通过 WebView 显示这些模板,捕获所有输入并将其发送到中央服务器 (C2)。数据窃取完成后,它会禁用所使用的覆盖层以避免被检测到。全屏覆盖层可以隐藏其活动。
其辅助功能服务会记录文本更改、点击、焦点转移和完整的用户界面树更新,即使屏幕截图被阻止,操作人员也能重现用户操作。这些功能还允许恶意软件提取 PIN 码和密码以解锁设备。
报告继续指出:“由于该恶意软件依赖于辅助功能服务日志记录而非网络拦截,因此它可以实时读取屏幕上显示的所有内容,包括联系人、完整的对话记录以及收发消息的内容。这使得该功能尤其危险:它完全绕过了端到端加密,在合法应用程序解密消息后仍能访问消息,从而使攻击者可以直接查看本应私密的对话。”
Sturnus 利用两种互补的捕获方法实现对受感染设备的完全远程控制:一种是通过 Android 的屏幕捕获框架进行实时屏幕镜像,另一种是在标准捕获失败时,利用辅助功能事件构建屏幕截图的备用系统。然后,一个原生库通过 VNC RFB 协议管理会话。该恶意软件还会发送所有屏幕元素的结构化映射,跟踪点击、文本输入、滚动和应用启动等操作,而无需使用图像。这种方法占用带宽更少,避免了屏幕截图警报,即使对于隐藏或受保护的元素也能正常工作。
Sturnus 通过获取设备管理员权限、监控解锁事件、阻止撤销权限的尝试以及防止设备被移除来增强其持久性。一个庞大的监控子系统会跟踪系统变更、连接状态、电源状态、SIM 卡更换、应用安装、root 痕迹以及开发者设置。Sturnus 会对传感器、硬件和网络进行分析,以调整其策略、规避分析并长期控制设备。
报告总结道:“Sturnus 是一种复杂而全面的威胁,它利用多种攻击手段,使攻击者几乎可以完全控制受感染的设备。它结合了基于覆盖层的凭证窃取、消息监控、广泛的键盘记录、实时屏幕流传输、远程控制、设备管理员滥用以及全面的环境监控,对受害者的财务安全和隐私构成严重威胁。”
