11月26日消息,科技媒体Android Authority于昨日(11月25日)发布博文披露,一种名为“Sturnus”的新型安卓银行木马正在网络肆虐。该病毒通过恶意APK文件进行传播,并利用安卓系统的无障碍服务权限,在用户毫无察觉的情况下窃取设备控制权。
安全研究机构MTI Security指出,这款恶意软件主要通过恶意APK文件传播,一旦成功安装,便会伪装成谷歌Chrome浏览器等预装应用,同时滥用安卓系统的“在其他应用上层显示”等无障碍服务权限。
借助这些系统权限,Sturnus能够在用户完全不知情的情况下,实时监视屏幕上显示的文本内容、录制屏幕画面、记录用户的点击和键盘操作,甚至还能自行输入文字并操控手机界面,从而实现对受感染设备的隐秘控制。
根据该博客文章分析,Sturnus的核心威胁在于其强大的金融数据窃取能力。它能够精准识别并复刻银行应用的交互界面,通过生成高度逼真的HTML覆盖层来诱骗用户输入登录凭证,进而实施网络钓鱼攻击。
与此同时,这款木马还能绕过WhatsApp、Telegram等主流聊天软件的端到端加密保护,通过直接捕获屏幕内容的方式,窥探用户的私密对话信息。
更令人担忧的是,Sturnus甚至可以获取设备管理员权限,不仅能够监视锁屏密码的输入尝试,还能远程锁定设备,甚至阻止用户通过ADB(安卓调试桥)等技术手段将其卸载。
网络欺诈防护机构ThreatFabric的分析报告指出,Sturnus的命名源自一种椋鸟(Sturnus vulgaris),这种鸟类求偶时的鸣叫声混乱无序,恰与其“扰乱”通信协议的特性相符。
该木马混合使用了明文、RSA和AES加密等多种通信方式,且切换模式毫无规律可循,这使得其恶意行为更加难以被追踪和识别。
尽管研究人员认为Sturnus仍处于早期开发阶段,但其功能已经相当齐全,在通信协议和设备支持方面甚至比一些成熟的木马家族更为先进,并且已经在南欧和中欧的部分地区被实际部署。
针对Sturnus病毒带来的安全威胁,谷歌公司向媒体回应称,经过全面检测,Google Play应用商店中并未发现任何包含此恶意软件的应用。谷歌特别强调,安卓设备上的Google Play Protect功能默认处于开启状态,能够自动保护用户免受此类已知恶意软件的侵害。
