11月26日,安全研究人员披露了一款名为"Sturnus"的新型安卓银行木马,该恶意软件能够突破端到端加密防护,窃取Signal、WhatsApp和Telegram等即时通讯应用中的对话内容。
这款木马主要通过恶意APK文件传播,一旦成功安装,便会伪装成谷歌Chrome等系统应用,同时滥用安卓系统的无障碍服务与"在其他应用上层显示"权限,从而实现对受感染设备的近乎完全控制。
获取权限后,Sturnus能够在用户毫无察觉的情况下执行多项恶意操作,包括监视屏幕内容、录制屏幕画面、记录点击与输入行为,甚至能擅自操控界面元素并输入文本。这种基于屏幕读取的技术使其能够直接获取解密后的通讯内容,成功绕过了端到端加密机制的安全防护。
深入技术分析表明,Sturnus与指挥服务器之间的通信部分采用明文传输,仅对部分数据使用RSA和AES加密算法。木马还会通过加密通道向服务器注册,并建立WebSocket连接以支持VNC远程实时控制。攻击者可借此模拟用户操作,如进行转账交易、修改系统设置等,同时在界面显示伪装的系统更新画面来掩盖恶意行为。
面对这一新型威胁,安全机构ThreatFabric建议用户避免安装来源不明的APK文件,确保Google Play Protect处于开启状态,同时谨慎授予无障碍功能相关权限。
谷歌公司对此回应称,经过全面检测,Google Play应用商店中未发现任何含有该恶意软件的应用,并强调Play Protect功能在默认状态下即可为用户提供有效防护。

