کمیته رکن چهارم– پژوهشگران امنیتی از شناسایی تروجان اندرویدی جدیدی بهنام Sturnus خبر دادهاند که با هدف سرقت اطلاعات بانکی و کنترل کامل دستگاههای آلوده طراحی شده است. این بدافزار با دور زدن رمزنگاری پیامرسانهایی مانند واتساپ، تلگرام و سیگنال، محتوای گفتگوها را پس از باز شدن ضبط میکند.
به گزارش کمیته رکن چهارم، Sturnus از حملات پوششی (Overlay) برای فریب کاربران استفاده میکند و با نمایش صفحات ورود جعلی، اطلاعات حساس مانند نام کاربری و گذرواژه را ثبت میکند. این بدافزار با بهرهگیری از سرویسهای دسترسپذیری اندروید، قابلیت ثبت کلیدها، مشاهده رابط کاربری و اجرای فعالیتهای مخرب را بهدست میآورد. ارتباط آن با سرور کنترل از راه دور از طریق WebSocket و HTTP برقرار شده و امکان نشست VNC و کنترل تعاملی دستگاه را فراهم میکند.
Sturnus در حال حاضر از طریق دو اپلیکیشن جعلی با نامهای Google Chrome و Preemix Box توزیع میشود و مؤسسات مالی در جنوب و مرکز اروپا را هدف قرار داده است. ThreatFabric اعلام کرده که این بدافزار در مرحله آزمایشی قرار دارد، اما طراحی دقیق حملات و استفاده از پوششهای منطقهای نشاندهنده برنامهریزی برای اجرای حملات گستردهتر است.
از دیگر قابلیتهای این بدافزار میتوان به ایجاد صفحات جعلی مشابه بهروزرسانی اندروید، فعالسازی صفحه سیاه، کلیک و تایپ از راه دور، ضبط آنی صفحه و جلوگیری از حذف دسترسی مدیریتی اشاره کرد. تا زمانی که کاربر بهصورت دستی این مجوز را لغو نکند، حذف بدافزار ممکن نیست.
تروجان Sturnus همچنین اطلاعات سختافزاری، وضعیت شبکه، سنسورها و فهرست اپلیکیشنها را جمعآوری کرده و با تحلیل این دادهها، عملکرد خود را متناسب با شرایط دستگاه تطبیق میدهد تا از شناسایی توسط ابزارهای امنیتی جلوگیری کند. پژوهشگران هشدار دادهاند که اگرچه شیوع فعلی محدود است، اما قابلیتهای پیچیده این بدافزار میتواند زمینهساز حملات سازمانیافتهتری در آینده باشد.
