Odborníci na kybernetickou bezpečnost zveřejnili podrobnosti o novém bankovním trojanu pro Android s názvem Sturnus, který umožňuje krádež přihlašovacích údajů a úplné převzetí zařízení za účelem finančních podvodů.

„Klíčovým rozlišovacím znakem je jeho schopnost obejít šifrované zprávy,“ uvedla společnost ThreatFabric ve zprávě sdílené s The Hacker News. „Zachycením obsahu přímo z obrazovky zařízení po dešifrování může Sturnus monitorovat komunikaci přes WhatsApp, Telegram a Signal.“

Další pozoruhodnou funkcí je schopnost provádět overlay útoky zobrazováním falešných přihlašovacích obrazovek nad bankovními aplikacemi za účelem zachycení přihlašovacích údajů obětí. Podle nizozemské společnosti zabývající se mobilní bezpečností je Sturnus provozován soukromě a v současnosti se odhaduje, že je ve fázi hodnocení.

Artefakty šířící bankovní malware jsou uvedeny níže:

Google Chrome („com.klivkfbky.izaybebnx“)
Preemix Box („com.uvxuthoq.noscjahae“)

Malware byl navržen tak, aby specificky cílil na finanční instituce v jižní a střední Evropě s overlay prvky specifickými pro jednotlivé regiony.

Název Sturnus odkazuje na jeho použití smíšeného komunikačního vzoru kombinujícího prostý text, AES a RSA, přičemž ThreatFabric jej přirovnává k evropskému špačkovi (binomické jméno: Sturnus vulgaris), který využívá různé pískání a je známý jako vokální napodobitel.

Jakmile je trojan spuštěn, kontaktuje vzdálený server přes kanály WebSocket a HTTP, aby zaregistroval zařízení a na oplátku obdržel šifrované datové pakety. Také vytváří kanál WebSocket, který útočníkům umožňuje interakci s kompromitovaným Android zařízením během relací Virtual Network Computing (VNC).

Kromě zobrazování falešných overlay prvků pro bankovní aplikace je Sturnus také schopen zneužívat služby usnadnění Androidu k zachycování úhozů kláves a zaznamenávání interakcí uživatelského rozhraní (UI). Jakmile je oběti zobrazena overlay vrstva pro banku a přihlašovací údaje jsou získány, overlay pro daný konkrétní cíl je deaktivována, aby nevzbudila podezření uživatele.

Dále může zobrazit celoobrazovkovou overlay vrstvu, která blokuje veškerou vizuální zpětnou vazbu a napodobuje obrazovku aktualizace operačního systému Android, aby uživateli vytvořila dojem, že probíhají aktualizace softwaru, zatímco ve skutečnosti umožňuje provádění škodlivých akcí na pozadí.

Mezi další funkce malwaru patří podpora monitorování aktivity zařízení, stejně jako využívání služeb usnadnění ke shromažďování obsahu chatů ze Signal, Telegram a WhatsApp, když je oběť otevře, a odesílání podrobností o každém viditelném prvku rozhraní na obrazovce.

To útočníkům umožňuje rekonstruovat rozložení na jejich straně a vzdáleně vydávat příkazy související s kliknutím, zadáváním textu, rolováním, spouštěním aplikací, potvrzováním oprávnění a dokonce povolit černou overlay vrstvu obrazovky. Alternativní mechanismus vzdáleného ovládání zabudovaný do Sturnus využívá systémový framework pro zachycení displeje k zrcadlení obrazovky zařízení v reálném čase.

Rozsáhlé schopnosti monitorování prostředí umožňují shromažďovat informace ze senzorů, síťové podmínky, hardwarová data a inventář nainstalovaných aplikací. Tento profil zařízení slouží jako nepřetržitá zpětná vazba, která útočníkům pomáhá přizpůsobit jejich taktiku k obcházení detekce.

„Ačkoli šíření zůstává v této fázi omezené, kombinace cílené geografie a zaměření na vysoce hodnotné aplikace naznačuje, že útočníci zdokonalují své nástroje před širšími nebo koordinovanějšími operacemi,“ uvedla společnost ThreatFabric.

Zdroj: thehackernews.com