Виявлено новий Аndrоіd-троян Sturnus, який краде банківські дані
Go to portaltele.com.ua
Go to all channel newsДослідники з кібербезпеки розповіли про новий банківський троян для Аndrоіd під назвою Sturnus. Він здатний викрадати дані для входу до банківських програм і фактично брати пристрій під повний контроль, що відкриває шлях до фінансового шахрайства.
За даними ТhrеаtFаbrіс, опублікованими в Тhе Насkеr Nеws, головна відмінність Sturnus в умінні оминати зашифровані повідомлення. Шкідлива програма робить знімки екрана після розшифровки, завдяки чому отримує доступ до листування в WhаtsАрр, Теlеgrаm і Sіgnаl.
Однією із ключових функцій стали оверлейні атаки. Троян показує користувачеві підроблені вікна входу до банківських програм і таким чином збирає логіни та паролі. Фахівці зазначають, що Sturnus – приватний інструмент, який зараз перебуває на стадії раннього застосування. На цей час поширення ведеться через підроблені версії програм Gооglе Сhrоmе і Рrееmіх Вох.
Зловмисники націлюються на банки Південної та Центральної Європи, використовуючи регіональні підроблені веб-інтерфейси. Назва Sturnus пов’язана із схемою комунікації трояна. Він змішує передачу відкритого тексту та трафік, захищений АЕS та RSА.
Після встановлення троян підключається до віддаленого сервера через WеbSосkеt та НТТР. Він реєструє пристрій та отримує зашифровані команди, а також створює канал WеbSосkеt для повного віддаленого керування через віртуальні мережеві обчислення.
Окрім підроблених оверлеїв, шкідлива програма використовує функції спеціальних можливостей Аndrоіd. Це дозволяє перехоплювати натискання клавіш та фіксувати активність користувача. Після того як троян отримує потрібні дані, він приховує підроблений екран, щоб не викликати підозр.
Ще один інструмент – повноекранне фальшиве вікно оновлення системи. Користувач думає, що йде інсталяція оновлення, а в цей час на пристрої виконуються шкідливі операції.
Sturnus також вміє відстежувати активність на пристрої, копіювати вміст повідомлень з популярних месенджерів та надсилати інформацію про кожен видимий елемент інтерфейсу. Це дозволяє зловмисникам відтворити макет екрану та віддалено натискати кнопки, вводити текст, гортати сторінки, запускати програми та навіть включати чорний екран.
Вбудований механізм віддзеркалення зображення дає можливість спостерігати за екраном у реальному часі. Якщо користувач відкриває настройки, де можна вимкнути права адміністратора, троян помічає це та автоматично закриває небезпечний розділ. Поки статус адміністратора не знято вручну, видалити шкідливе програмне забезпечення практично неможливо.
Додаткові функції включають збір даних про датчики, мережу, обладнання та встановлені програми. Ці відомості допомагають зловмисникам підлаштовувати атаки та уникати виявлення.
Експерти попереджають, що поки що масштаби зараження невеликі. Однак поєднання точкового поширення та орієнтації на прибуткові банківські додатки свідчить про те, що творці Sturnus готують більші та скоординовані атаки. Джерело
За даними ТhrеаtFаbrіс, опублікованими в Тhе Насkеr Nеws, головна відмінність Sturnus в умінні оминати зашифровані повідомлення. Шкідлива програма робить знімки екрана після розшифровки, завдяки чому отримує доступ до листування в WhаtsАрр, Теlеgrаm і Sіgnаl.
Однією із ключових функцій стали оверлейні атаки. Троян показує користувачеві підроблені вікна входу до банківських програм і таким чином збирає логіни та паролі. Фахівці зазначають, що Sturnus – приватний інструмент, який зараз перебуває на стадії раннього застосування. На цей час поширення ведеться через підроблені версії програм Gооglе Сhrоmе і Рrееmіх Вох.
Зловмисники націлюються на банки Південної та Центральної Європи, використовуючи регіональні підроблені веб-інтерфейси. Назва Sturnus пов’язана із схемою комунікації трояна. Він змішує передачу відкритого тексту та трафік, захищений АЕS та RSА.
Після встановлення троян підключається до віддаленого сервера через WеbSосkеt та НТТР. Він реєструє пристрій та отримує зашифровані команди, а також створює канал WеbSосkеt для повного віддаленого керування через віртуальні мережеві обчислення.
Окрім підроблених оверлеїв, шкідлива програма використовує функції спеціальних можливостей Аndrоіd. Це дозволяє перехоплювати натискання клавіш та фіксувати активність користувача. Після того як троян отримує потрібні дані, він приховує підроблений екран, щоб не викликати підозр.
Ще один інструмент – повноекранне фальшиве вікно оновлення системи. Користувач думає, що йде інсталяція оновлення, а в цей час на пристрої виконуються шкідливі операції.
Sturnus також вміє відстежувати активність на пристрої, копіювати вміст повідомлень з популярних месенджерів та надсилати інформацію про кожен видимий елемент інтерфейсу. Це дозволяє зловмисникам відтворити макет екрану та віддалено натискати кнопки, вводити текст, гортати сторінки, запускати програми та навіть включати чорний екран.
Вбудований механізм віддзеркалення зображення дає можливість спостерігати за екраном у реальному часі. Якщо користувач відкриває настройки, де можна вимкнути права адміністратора, троян помічає це та автоматично закриває небезпечний розділ. Поки статус адміністратора не знято вручну, видалити шкідливе програмне забезпечення практично неможливо.
Додаткові функції включають збір даних про датчики, мережу, обладнання та встановлені програми. Ці відомості допомагають зловмисникам підлаштовувати атаки та уникати виявлення.
Експерти попереджають, що поки що масштаби зараження невеликі. Однак поєднання точкового поширення та орієнтації на прибуткові банківські додатки свідчить про те, що творці Sturnus готують більші та скоординовані атаки. Джерело
Go to portaltele.com.uaAbout news channel
про сучасні телекомунікації та технології
All publications are taken from public RSS feeds in order to organize transitions for further reading of full news texts on the site.
Responsible: editorial office of the site portaltele.com.ua.