Внимание: Sturnus завладява телефони и източва банкови сметки

Специалисти по киберсигурност разкриха подробности за нов злонамерен софтуер (malware), който атакува именно телефоните с Android. Той се нарича Sturnus и е от типа „банков троянски кон“ – тоест програма, която краде банкови данни и може напълно да завладее телефона, за да извършва измами с парите на жертвата.

Какво го прави особено опасен?

Една от най-важните му „суперсили“ е, че може да заобикаля криптирането на чат-приложенията като WhatsApp, Telegram и Signal.

Обикновено съобщенията в тези приложения са защитени с т.нар. end-to-end криптиране – това означава, че никой освен подателя и получателя не може да ги прочете, дори самите компании. Sturnus обаче не се опитва да разбие криптирането. Вместо това той директно „снима“ екрана на телефона след като съобщенията вече са били декриптирани от приложението и по този начин вижда всичко, което пише потребителят.

Други опасни функции

• Фалшиви екрани (overlay атаки) – когато отворите истинското банковото приложение, троянецът поставя отгоре почти идентичен фалшив екран за вход. Потребителят въвежда потребителско име и парола, без да подозира, че данните отиват директно при престъпниците.
• Използване на „достъпност“ (Accessibility Services) – това е функция в Android, предназначена да помага на хора с увреждания (например четене на екрана на глас). Зловредният софтуер я използва, за да:
  • следи какво натискате на клавиатурата (keylogging),
  • вижда и записва всичко, което се случва на екрана,
  • чете чатове в Signal, Telegram и WhatsApp,
  • изпраща команди от разстояние – клик, писане, скролване, отваряне на приложения и др.
• Фалшив екран за ъпдейт – когато престъпниците искат да правят нещо скрито, троянецът показва цял екран с надпис „Android се актуализира…“, за да не виждате какво става на заден план.
• Дистанционно управление в реално време – чрез технология подобна на VNC (Virtual Network Computing – програма за отдалечен достъп до компютър) или чрез директно предаване на изображението от екрана.
• Самозащита – ако се опитате да отидете в настройките и да му премахнете администраторските права, троянецът веднага забелязва и автоматично ви изкарва от там. Докато има администраторски права, не може да се изтрие нито нормално, нито през ADB (Android Debug Bridge – инструмент за разработчици).

Как се разпространява в момента?

Засега се разпространява ограничено и изглежда е в „тестова“ фаза. Известни са два фалшиви приложения:

• фалшив Google Chrome
• приложение „Preemix Box“

Кого атакува?

Основно банки в Южна и Централна Европа (включително вероятно и България). За всяка държава троянецът има специално подготвени фалшиви екрани на местния език и с логото на съответната банка.

Защо се казва Sturnus?

Името идва от птицата скворец (на латински Sturnus vulgaris). Скворците са известни с това, че имитират най-различни звуци. Троянецът също „имитира“ – използва смесица от обикновен текст, AES и RSA криптиране за комуникация със сървъра на престъпниците.

Какво казват специалистите от ThreatFabric (холандска фирма за мобилна сигурност)?

„Засега разпространението е ограничено, но фактът, че атаките са насочени към конкретни държави и към най-важните банкови приложения, показва, че престъпниците усъвършенстват инструмента си и се готвят за по-мащабни кампании.“

Как да се предпазите?

• Никога не инсталирайте приложения извън официалния Google Play Store.
• Ако някое приложение иска „достъпност“ (Accessibility), проверете добре защо му е необходимо.
• Не кликайте върху подозрителни линкове и файлове.
• Използвайте надежден антивирус за Android (например Malwarebytes, Bitdefender, Avast и др.).
• Ако забележите странно поведение – бързо изтощена батерия, странни екрани, приложения, които не помните да сте инсталирали – веднага проверете списъка с администраторски приложения в настройките.

Бъдете внимателни – Sturnus е един от най-модерните и опасни банкови троянци за Android в момента!