Sturnus banki trójai
A ThreatFabric kutatói azonosították a Sturnus Android banki trójai-családot, amely nem csupán alapvető adathalász vagy credential-stuffing támadásként funkcionál, hanem képes teljes eszköz-átvételre és encrypted messaging alkalmazások – különösen a WhatsApp, Telegram és Signal – tartalmának, üzeneteinek megfigyelésére. A kulcsmechanizmus abban áll, hogy a trójai nem a hálózati forgalmat figyeli meg közvetlenül, hanem az eszközön már dekódolt adatokat rögzíti – azaz képernyőlefedéssel, Accessibility szolgáltatáson keresztüli UI-tree elemzésével, keylogginggal és overlay-technológiával olyan részletes képet fest a felhasználó viselkedéséről, hogy a beágyazott végpont-titkosítás sem nyújt védelmet.
Technikailag a Sturnus moduláris felépítésű, a C2 kommunikáció WebSocket- és HTTP-csatornákon fut, RSA + AES kulcscserével és saját bináris protokollal, ami megnehezíti a forgalom-monitoringot. A sérülékenységek kihasználása során a trójai overlay-motorral hamis banki bejelentkezőképernyőket generál, e-helyett adatokat rögzít, illetve black screen overlay-t indít, amely alatt a támadó háttérben végrehajtja a tranzakciót, míg a felhasználó sötét képernyőt lát. Különösen figyelemre méltó, hogy a trójai az üzenetküldő alkalmazások előtérbe kerülésekor automatikusan aktiválja a UI-fákat és monitorozza a beszélgetéseket – ez azt jelenti, hogy a WhatsApp, Telegram vagy Signal alkalmazásban folytatott minden üzenet kvázi láthatóvá válik a támadó számára az eszközön belül.
A jelenlegi tapasztalatok szerint Sturnus főként Dél- és Közép-Európában aktív célokkal, de a technológia érettsége miatt a kutatók úgy vélik, hogy hamarosan szélesebb kampány indulhat. Az operátorok főképp pénzügyi intézmények ügyfeleit célozzák, de a magas funkcionalitás miatt vállalati mobil-hozzáférések vagy állami alkalmazottak eszközei is primer célpontok lehetnek.
