11 月 26 日消息,科技媒體 AndroidAuthority 昨日(11 月 25 日)發布博文,報道稱新型安卓銀行木馬病毒「Sturnus」肆虐網絡,通過惡意 APK 文件分發傳播,利用安卓系統的「無障礙服務」權限,可在用戶不知情的情況下竊取設備控制權。
安全研究機構 MTI Security 披露稱該惡意軟體主要通過惡意 APK 文件傳播,一旦安裝,便會偽裝成谷歌 Chrome 瀏覽器等預裝應用,並濫用「在其他應用上層顯示」等安卓系統無障礙服務。
藉助這些權限,Sturnus 可以在用戶毫無察覺的情況下,監視螢幕上顯示的文本、錄製螢幕、記錄用戶的螢幕點擊和按鍵操作,甚至可以自行輸入文本和操控手機界面,從而實現對設備的隱秘控制。
IT之家援引博文介紹,Sturnus 的核心威脅在於其金融數據竊取能力。它能夠精準識別並復刻銀行應用的界面,通過生成高度逼真的 HTML 覆蓋層來誘騙用戶輸入登錄憑據,進而實施網絡釣魚攻擊。
同時,該木馬還能繞過 WhatsApp、Telegram 等主流聊天軟體的端到端加密,通過直接捕獲螢幕內容的方式,窺探用戶的私密對話。
更危險的是,Sturnus 還能獲取設備管理員權限,不僅能監視鎖屏密碼的輸入嘗試,還能鎖定設備,甚至阻止用戶通過 ADB(安卓調試橋)等技術手段將其卸載。
網絡欺詐防範機構 ThreatFabric 的分析指出,Sturnus 的命名源自一種椋鳥(Sturnus vulgaris),其求偶叫聲混亂無序,這恰好與其「混亂」的通信協議特徵相符。
該木馬混合使用了明文、RSA 和 AES 加密等多種通信方式,且切換毫無規律,讓其行為更難被追蹤。
儘管研究人員認為 Sturnus 仍處於早期開發階段,但它功能已經齊全,在通信協議和設備支持方面甚至比一些成熟的木馬家族更為先進,並且已經在南歐和中歐的部分地區被實際部署。
針對 Sturnus 病毒的威脅,谷歌公司向媒體回應稱,經過檢測,Google Play 商店中並未發現任何包含此惡意軟體的應用。谷歌強調,安卓設備上的 Google Play Protect 功能默認開啟,可以自動保護用戶免受此類已知惡意軟體的侵害。
