本站11月26日消息,据媒体报道,安全研究人员近期发现一款名为“Sturnus”的新型安卓银行木马,能够绕过端到端加密保护,窃取Signal、WhatsApp和Telegram等通讯应用中的内容。该木马主要通过恶意APK文件传播。一旦安装,它就会伪装成Google Chrome等系统应用程序,并滥用Android系统的辅助服务和“显示在其他应用程序之上”权限,从而实现对受感染设备近乎完全的控制。
在获取权限后,Sturnus能够在用户无感知的情况下执行多项恶意操作,包括监视屏幕内容、录制屏幕、记录点击与输入行为,甚至自行操控界面和输入文本。这种基于屏幕的读取方式使其能够直接获取解密后的通信内容,从而绕过端到端的加密机制。
技术分析进一步发现,Sturnus与命令服务器之间的通信部分以明文传输,部分使用RSA和AES加密。该木马还会通过加密通道注册到服务器并建立WebSocket连接,支持VNC远程实时控制。攻击者可以利用它来模拟用户操作,例如转账、修改设置等,同时在界面上显示虚假的系统更新屏幕来隐藏恶意行为。
针对这一威胁,安全机构ThreatFabric建议用户避免安装来源不明的APK文件,保持Google Play Protect处于开启状态,并谨慎授予无障碍功能权限。谷歌也回应称,经过测试,Google Play商店中没有发现包含该恶意软件的应用程序,并强调Play Protect功能可以默认为用户提供保护。
