11月26日,安全研究人员披露发现一款名为“Sturnus”的新型安卓银行木马,能够突破端到端加密防护,窃取Signal、WhatsApp和Telegram等通讯应用中的聊天内容。
该木马主要通过恶意APK文件传播,一旦安装成功,便会伪装成谷歌Chrome等系统应用,并滥用安卓系统的无障碍服务和“在其他应用上层显示”权限,最终实现对受感染设备的近乎完全控制。
获得权限后,Sturnus可在用户无感知的情况下执行多项恶意操作,包括监控屏幕内容、录制屏幕操作、记录点击与输入行为,甚至能直接操控界面并输入文字。这种基于屏幕读取的技术手段使其能够直接获取解密后的通讯内容,从而绕过了端到端加密机制。
技术分析进一步表明,Sturnus与指挥服务器之间的通信部分采用明文传输,仅对部分数据使用RSA和AES加密。木马还会通过加密通道向服务器注册,并建立WebSocket连接以支持VNC远程实时控制。攻击者可借此模拟用户操作,如进行转账、修改设置等,同时在界面显示伪造的系统更新画面来掩盖恶意行为。
面对这一威胁,安全机构ThreatFabric建议用户避免安装来源不明的APK文件,确保Google Play Protect处于开启状态,并谨慎授予无障碍功能权限。
谷歌公司对此回应称,经检测,Google Play商店中未发现任何含有该恶意软件的应用,同时强调Play Protect功能在默认状态下即可为用户提供安全防护。

