محققان ThreatFabric یک تروجان بانکی جدید برای اندروید به نام Sturnus کشف کردند. اگرچه هنوز در حال توسعه است، اما در حال حاضر بسیار کاربردی است و یک تهدید جدی است.
استورنوس میتواند پیامهای سیگنال، *واتساپ و تلگرام را پس از رمزگشایی با استفاده از قابلیتهای ویژه صفحهخوانی سیستم، رهگیری کند و رمزگذاری سرتاسر را دور بزند.
تروجان از یک پوشش HTML برای سرقت داده های بانکی استفاده می کند و از کنترل از راه دور از طریق VNC پشتیبانی می کند. بدافزار خود را به عنوان Google Chrome یا Preemix Box پنهان می کند و از طریق روشی ناشناخته توزیع می شود. پس از نصب، Sturnus در سرور فرمان و کنترل ثبت میشود و کانالهای امن HTTPS و AES WebSocket را برای انتقال فرمان و داده و دسترسی VNC ایجاد میکند. پس از اعطای حقوق سرپرست دستگاه، او میتواند تغییرات رمز عبور را نظارت کند، دستگاه را قفل کند و از پاک شدن آن جلوگیری کند، که پاک کردن را بدون بازگردانی دستی دشوار میکند.
وقتی کاربر واتساپ، تلگرام یا سیگنال را باز میکند، استورنوس به پیامها، متنهای تایپشده، نام مخاطبین و چتها در زمان واقعی دسترسی دارد و حتی میتواند چتهای رمزگذاریشده انتها به انتها را به خطر بیاندازد.
ThreatFabric یک پنجره جعلی “Android System Update” را برای پنهان کردن فعالیت Sturnus نشان داد. اگرچه تا به امروز استفاده محدودی از آن دیده شده است، اما معماری و عملکرد آن با تروجان های پیشرفته اندروید سازگار است و پتانسیل پذیرش گسترده تر را نشان می دهد.
* متعلق به شرکت متا است که افراطی تلقی می شود، فعالیت آن در روسیه ممنوع است.