Souhrn
Nový androidový bankovní trojan nazvaný Sturnus představuje pokročilou hrozbu, která dokáže ovládat obrazovku zařízení, krást bankovní přihlašovací údaje a zachytávat obsah šifrovaných chatů. I když je stále ve fázi raného vývoje, chová se jako plně vyspělý nástroj pro kyberzločince. Malware neprolámává šifrování, ale zachycuje zprávy po jejich dešifrování na zařízení uživatele.
Klíčové body
- Používá HTML overlaye napodobující bankovní aplikace k získání přihlašovacích údajů.
- Zneužívá Android Accessibility Service pro keylogging a sledování uživatelského rozhraní.
- Zachycuje dešifrovaný obsah zpráv z aplikací jako Signal nebo WhatsApp.
- Funguje tiše na pozadí bez viditelných známek infekce.
- Detekován výzkumnou firmou ThreatFabric, která se specializuje na analýzu mobilních malwarů.
Podrobnosti
Sturnus byl identifikován cybersecurity firmou ThreatFabric, která se zaměřuje na výzkum a detekci mobilních hrozeb, zejména bankovních trojanů cílených na Android. Tento malware kombinuje několik vrstev útoku, které poskytují útočníkům téměř úplný přehled o aktivitách na infikovaném zařízení. Po instalaci, která probíhá typicky přes falešné aplikace maskované jako legitimní software, se trojan aktivuje a získává potřebná oprávnění.
Jedním z klíčových mechanismů je zobrazení podvodných HTML overlayů, které překrývají skutečné bankovní aplikace. Tyto overlaye napodobují vzhled a chování originálních aplikací, jako jsou ty od bank nebo platebních služeb. Když uživatel zadává své přihlašovací údaje, data jsou okamžitě odeslána útočníkům přes WebView komponentu, což je webový prohlížeč integrovaný do aplikace Androidu určený pro zobrazení HTML obsahu. Tento přístup umožňuje rychlé a efektivní krádež citlivých informací bez nutnosti složitějších technik.
Další vrstvou je agresivní keylogging realizovaný prostřednictvím Android Accessibility Service. Tato služba je navržena pro podporu uživatelů se zdravotním postižením – umožňuje čtení textu na obrazovce, navigaci a interakci s prvky uživatelského rozhraní. Malware ji zneužívá k zachycování stisknutých kláves, identifikaci aktivních aplikací a mapování celé struktury UI (uživatelského rozhraní). Dokonce i když aplikace blokují tvorbu snímků obrazovky, Sturnus sleduje UI tree v reálném čase, což mu umožňuje rekonstruovat obsah bezpečně chráněných chatů.
Zvláště znepokojivá je schopnost číst end-to-end šifrované zprávy z aplikací jako WhatsApp, Telegram nebo Signal. Malware nezasahuje do šifrovacího protokolu, ale čeká, až aplikace zprávy dešifruje na zařízení pro zobrazení. Poté zachytí obsah přes Accessibility Service nebo clipboard (mezipaměť). To znamená, že i když je komunikace teoreticky bezpečná, infikované zařízení se stává slabým článkem. Trojan navíc ovládá obrazovku, což umožňuje útočníkům simulovat dotyky nebo navigovat v aplikacích.
Infekce obvykle probíhá přes sociální inženýrství – uživatelé stáhnou infikovanou aplikaci z neoficiálních zdrojů nebo přes SMS odkazy. Sturnus je stále ve vývoji, ale jeho modularita naznačuje, že se brzy rozšíří o další funkce, jako vzdálené ovládání kamerou nebo mikrofonem.
Proč je to důležité
Tento trojan zdůrazňuje rostoucí sofistikovanost mobilních bankovních hrozeb, které cílí na Android kvůli jeho otevřenosti a širokému rozšíření. Pro uživatele to znamená vyšší riziko finančních ztrát, krádeže identity a úniku soukromých dat. V širším kontextu kybernetického ekosystému ukazuje, jak zneužívání systémových služeb jako Accessibility Service oslabuje bezpečnostní model Androidu. Doporučuje se instalovat aplikace pouze z Google Play, kontrolovat oprávnění, používat antivirový software a aktivovat dvoufázové ověřování. Firmy jako ThreatFabric pomáhají detekcí, ale prevence závisí na uživatelích a Google na zlepšení ochrany proti zneužití služeb. Pokud se Sturnus rozšíří, může ovlivnit miliony zařízení a posílit tlak na lepší bezpečnostní opatření v Androidu.
Zdroj: 📰 Fox News
