Novi Android bankarski trojanac pod nazivom Sturnus u stanju je da čita poruke sa end-to-end enkriptovanih aplikacija kao što su Signal, WhatsApp i Telegram – i da preuzme potpunu kontrolu nad uređajem, piše Bleeping Computer.

Iako je još u razvoju, malver je već u potpunosti funkcionalan i konfigurisan da cilja naloge u više evropskih finansijskih institucija pomoću „regionalno specifičnih“ lažnih HTML ekrana (overlay šablona). Istraživači iz kompanije ThreatFabric navode da Sturnus koristi kombinaciju plaintext, RSA i AES enkripcije za komunikaciju sa komandno-kontrolnim (C2) serverom, što ga čini naprednijim od većine postojećih Android pretnji.

Sturnus zaobilazi zaštitu tako što čita poruke posle dešifrovanja – direktno sa ekrana. Tako pristupa kontaktima, celim razgovorima i sadržaju poruka u realnom vremenu, potpuno zaobilazeći end-to-end enkripciju legitimnih aplikacija.

Malver krade i bankarske podatke preko HTML lažnih ekrana i omogućava napadačima potpun pristup uređaju kroz VNC sesiju. Napad počinje instalacijom lažnih APK fajlova maskiranih kao Google Chrome ili Preemix Box aplikacije, a verovatni kanali distribucije su maliciozne reklame ili direktne poruke.

Nakon instalacije, uređaj se registruje na C2 infrastrukturu putem kriptografske razmene, uspostavlja se enkriptovan HTTPS kanal za slanje podataka, a AES-enkriptovani WebSocket koristi se za VNC kontrolu i praćenje u realnom vremenu. Zloupotrebom Accessibility servisa, Sturnus može da čita tekst na ekranu, vidi korisničke unose, prati pokretanje aplikacija, pritiska tastere, skroluje, ubacuje tekst i upravlja telefonom.

Dobijanjem Device Administrator privilegija, malver može da zaključa uređaj, prati promene lozinki, sprečava uklanjanje svojih dozvola i onemogući deinstalaciju. Kada se otvore WhatsApp, Telegram ili Signal, Sturnus automatski detektuje poruke i sadržaj razgovora.

U VNC modu napadači mogu da rade šta žele – od transfera novca i potvrđivanja MFA prozora, do promena podešavanja i instalacije novih aplikacija. ThreatFabric navodi primer lažne „Android System Update“ poruke koja služi da sakrije maliciozne radnje u pozadini.

Iako se Sturnus zasad pojavljuje sporadično, uglavnom u Južnoj i Centralnoj Evropi, stručnjaci veruju da je pretnja u fazi testiranja pre većih napada. Kombinacija naprednih mogućnosti i arhitekture spremne za brzo širenje čini ga ozbiljnom krizom na horizontu.

Stručnjaci savetuju korisnicima Androida da ne instaliraju APK fajlove van Google Play prodavnice, da drže Play Protect uključenim i da Accessibility dozvole daju samo kada je zaista neophodno.