Sturnus cilja WhatsApp, Telegram i Signal

AUTOR ·

Sturnus, novi bankarski trojanac za Android, otkriven od strane kompanije ThreatFabric, izazvao je veliku pažnju u zajednici za sajber bezbjednost. Ova prijetnja može presretati komunikaciju na platformama za razmjenu poruka sa šifrovanjem od kraja do kraja, poput WhatsApp, Telegram i Signal, ali i preuzeti potpunu kontrolu nad uređajem.

Sturnus

Sturnus cilja WhatsApp, Telegram i Signal, Source: Bing Image Creator

STURNUS ANDROID ZLONAMJERNI SOFTVER

Sturnus su prvi put otkrili sigurnosni istraživači tokom ciljanih napada na finansijske institucije u Južnoj i Centralnoj Evropi. Ograničen obim ovih napada ukazuje na fazu testiranja od strane zlonamjernih aktera prije pokretanja šire kampanje, što naglašava potrebu za budnošću među evropskim finansijskim institucijama.

Istovremeno, naprednost ovog zlonamjernog softvera izazvala je zabrinutost zbog njegovog mogućeg uticaja na bezbjednosno okruženje, posebno kada je riječ o zaštiti korisničke komunikacije i podataka za prijavu.

Kao bankarski trojanac, Sturnus je razvijen isključivo za zlonamjerne svrhe, koristeći raznovrsne tehnike kako bi izbjegao otkrivanje i povećao djelotvornost. Njegove mogućnosti obuhvataju krađu podataka za prijavu, ali i potpuno preuzimanje uređaja.

 

Proces infekcije i metode distribucije

Tipičan proces infekcije počinje kada korisnik, ne sluteći opasnost, preuzme zlonamjerni APK maskiran kao što su Google Chrome ili Preemix Box sa interneta. Sigurnosni istraživači pretpostavljaju da akteri iza ovih napada koriste različite taktike, među kojima su zlonamjerni oglasi i privatne poruke u aplikacijama za razmjenu poruka, kako bi širili datoteke opterećene zlonamjernim softverom.

Iako tačan način distribucije još nije poznat, jasno je da se Sturnus oslanja na kampanje društvenog inženjeringa i phishing napade radi širenja svog uticaja. Ove metode obično podrazumijevaju obmanu korisnika da instaliraju zlonamjerni softver kao nezvaničnu APK datoteku izvan Google Play prodavnice.

Nakon instalacije, softver uspostavlja vezu sa upravljačkim serverima, prijavljuje žrtve i otvara komunikacione kanale.

 

Šema komunikacije i struktura naredbi

Sigurnosni istraživači otkrili su da Sturnus koristi naprednu šemu komunikacije sa serverima za upravljanje i kontrolu, oslanjajući se na kombinaciju čistog teksta, RSA i AES šifrovanja. Ovakav pristup omogućava zlonamjernom softveru da se neprimjetno uklopi u uobičajene mrežne obrasce, dok istovremeno prikriva naredbe i ukradene podatke od odbrambenih sistema.

Korištenje više protokola za šifrovanje zajedno stvara snažan okvir bezbjednosti u komunikaciji. Čisti tekst se primjenjuje u određenim operacijama, dodajući sloj neprimjetnosti. RSA šifrovanje obezbjeđuje da osjetljive informacije ostanu zaštićene tokom prenosa, dok AES šifrovane WebSocket veze omogućavaju neposredne VNC operacije između zlonamjernog softvera i upravljačkih servera.

Primjena ovako složene šeme komunikacije omogućava Sturnus zlonamjernom softveru da održi visok nivo izbjegavanja otkrivanja, otežavajući odbrambenim sistemima da prepoznaju i efikasno odgovore na napade.

 

Prisluškivanje aplikacija za šifrovane poruke

Jedna od najalarmantnijih osobina Sturnus zlonamjernog softvera jeste njegova sposobnost da snima komunikacije sa platformi za razmjenu poruka sa šifrovanjem od početka do kraja (eng. end-to-end encryption – E2EE), poput WhatsApp, Telegram i Signal. Na taj način zaobilazi bezbjednosne mehanizme po kojima su ove aplikacije poznate, ostavljajući korisnike bez ikakvog upozorenja da su njihovi razgovori ugroženi.

Sturnus to postiže zloupotrebom Android servisa pristupačnosti, nadgledajući sadržaj ekrana nakon što se poruke dešifruju i prikažu. Kada korisnik otvori neku od ovih aplikacija, softver je prepoznaje u prvom planu i pokreće mehanizam za prikupljanje stabla korisničkog okruženja. Time mu se omogućava da u stvarnom vremenu čita sve podatke na ekranu, uključujući imena pošiljalaca, sadržaj poruka i vremenske oznake.

Nadzor se odvija lokalno na uređaju, nakon što ključevi za šifrovanje završe svoj posao, čime se onemogućava zaštita koju nude sigurnosni protokoli u aplikacijama WhatsApp, Telegram i Signal. Posljedica je da zlonamjerni akteri dobijaju potpun pristup privatnim razgovorima, bez ikakvih znakova da je komunikacija ugrožena.

Ovakav pristup je naročito podmukao, jer korisnicima ne ostavlja vidljive tragove upozorenja. Okruženje aplikacija izgleda uobičajeno i nema pokazatelja da je Sturnus zahvatio komunikaciju. Za razliku od klasičnog špijunskog softvera, koji često zahtijeva administratorski pristup ili iskorištavanje ranjivosti, Sturnus se oslanja na dozvole koje neoprezni korisnici sami odobravaju.

 

Krađa podataka i daljinska kontrola

Pored nadzora poruka, Sturnus posjeduje kompletan paket funkcija bankarskog zlonamjernog softvera koji omogućava krađu podataka za prijavu i daljinsku kontrolu nad uređajima. Softver koristi HTML preklapanja koja imitiraju stranice za prijavu u bankarske aplikacije, čime zlonamjerni akteri dolaze do podataka od neslutećih korisnika.

Preklapanja se čuvaju lokalno na uređaju i prilagođena su svakoj finansijskoj instituciji na koju je kampanja usmjerena, što ukazuje na dobro organizovan napor da se ugroze nalozi u više banaka.

Sturnus linija za praćenje unosa sa tastature bilježi svaki pritisak na taster i dodir ekrana na inficiranim uređajima. Time zlonamjerni akteri dolaze do osjetljivih podataka, uključujući PIN i lozinke, pa stiču pristup finansijskim računima. Softver dodatno koristi mogućnosti daljinske kontrole, omogućavajući da se kuca, prati aktivnost, prikazuju crni slojevi preko ekrana i tiho izvršavaju lažne transakcije u pozadini.

Bilježenjem radnji korisnika putem događaja servisa pristupačnosti, Sturnus sastavlja detaljne podatke o ponašanju čak i kada je snimanje ekrana blokirano bezbjednosnim Android oznakama. Na taj način akteri stiču uvid u korištenje uređaja i aplikacija, otkrivajući slabosti koje se dalje mogu iskoristiti.

Softver pruža dvije metode daljinskog upravljanja: dijeljenje ekrana u realnom vremenu koristeći Android API za snimanje i režim interakcije zasnovan na pristupačnosti sa malim propusnim opsegom, koji mapira i kontroliše elemente korisničkog okruženja. Ove mogućnosti omogućavaju preciznu kontrolu nad uređajem, uključujući ubrizgavanje teksta, klikove na dugmad, navigaciju po ekranima i izvođenje neovlaštenih transakcija dok aktivnost ostaje prikrivena crnim prekrivačem.

Takav nivo pristupa daje zlonamjernim akterima potpunu kontrolu nad uređajem bez otkrivanja, što olakšava sprovođenje finansijskih prevara. Posljedice su naročito ozbiljne kada se kombinuju sa sposobnošću softvera da presretne osjetljive informacije iz šifrovanih aplikacija za razmjenu poruka.

 

Prikrivenost i izbjegavanje

Sturnus djeluje sa visokim mogućnostima prikrivenosti, osmišljenim da izbjegne otkrivanje od strane bezbjednosnog softvera i ljudskih analitičara. Jedna od njegovih najefikasnijih tehnika jeste sakrivanje prisustva korištenjem crnih prekrivača na ekranu, koji maskiraju zlonamjerne aktivnosti dok se transakcije tiho izvršavaju u pozadini.

Pored toga, softver koristi zaštitu administratorskih privilegija kako bi blokirao pokušaje brisanja, što otežava korisnicima i administratorima da uklone Sturnus sa inficiranih uređaja. Ovakav nivo prikrivenosti i izbjegavanja dodatno komplikuje posao bezbjednosnim timovima, koji se suočavaju sa poteškoćama u otkrivanju i efikasnom odgovoru na infekcije.

Dodatnu prednost Sturnus ostvaruje korištenjem usluga pristupačnosti, što mu omogućava da djeluje ispod radara bez izazivanja sumnje. Oslanja se na dozvole koje korisnici često nesvjesno odobravaju ili koje se pribavljaju kroz ciljanje slabosti u njihovom ponašanju.

Kombinacija ovih tehnika prikrivenosti čini Sturnus izuzetno moćnim alatom za zlonamjerne aktere, sposoban da izvodi složene i napredne operacije uz mali rizik od otkrivanja.

 

UTICAJ

Pojava zlonamjernog softvera Sturnus za Android ima ozbiljan uticaj i na pojedince i na organizacije. Kao prijetnja visokog nivoa, on predstavlja rizik po bezbjednost i integritet osjetljivih informacija sačuvanih na mobilnim uređajima. Posebno zabrinjava njegova sposobnost da zaobiđe protokole za šifrovanje od početka do kraja (E2EE) koje koriste popularne aplikacije za razmjenu poruka, jer time zlonamjernim akterima omogućava pristup povjerljivim komunikacijama u realnom vremenu.

Dodatno, mogućnost daljinskog upravljanja otvara prostor za neotkriveno izvršavanje neovlaštenih transakcija, što dovodi do značajnih finansijskih gubitaka. Već sama činjenica da je Sturnus identifikovan kao privatno upravljani trojanski softver ukazuje na organizovan napor da se ugrozi bezbjednost mobilnih uređaja, sa vjerovatnim dalekosežnim posljedicama.

Ciljane kampanje protiv finansijskih institucija širom Južne i Centralne Evrope jasno pokazuju fokus na kompromitovanje bezbjednih komunikacionih platformi. Ovakva specifičnost u odabiru ciljeva izaziva zabrinutost zbog mogućnosti široko rasprostranjenih poremećaja i ekonomskih gubitaka ukoliko se ne zaustavi na vrijeme.

Još jedan alarmantan aspekt jeste to što Sturnus ostaje funkcionalan i u ranoj fazi testiranja, što naglašava potrebu za budnošću među mobilnim korisnicima i organizacijama. Iako je do sada otkriveno relativno malo uzoraka, to može biti samo privremeno olakšanje, jer prijetnja ima potencijal da preraste u mnogo ozbiljniji problem.

Uticaj na povjerenje korisnika ne može se zanemariti. Sposobnost Sturnus zlonamjernog softver da ugrozi osjetljive komunikacije vjerovatno će narušiti povjerenje u mobilnu bezbjednost i aplikacije za razmjenu poruka. Posljedice se šire i na digitalnu ekonomiju, gdje je bezbjedna komunikacija osnovni preduslov za poslovne operacije.

 

ZAKLJUČAK

Koncept Sturnus Android zlonamjernog softvera usko je povezan sa pojmom naprednih prijetnji, naglašavajući stalno mijenjajuću prirodu sajber okruženja i potrebu za neprekidnim prilagođavanjem bezbjednosnih mjera.

Njegove sposobnosti, uključujući krađu bankarskih podataka i presretanje sadržaja razgovora na aplikacijama poput WhatsApp, Telegram i Signal, pokazuju jasno razumijevanje ponašanja korisnika i iskorištavanje njihovih ranjivosti. Oslanjanje na Android servis za pristupačnost dodatno ističe napredne funkcije, jer ova integracija omogućava zaobilaženje zaštite zasnovane na šifrovanju od kraja do kraja (E2EE) i pristup osjetljivim informacijama u stvarnom vremenu.

Upotreba lažnih ekrana za prijavu (HTML slojevi) i praćenje unosa sa tastature svjedoče o svestranosti softvera i njegovoj sposobnosti prilagođavanja različitim scenarijima. Sveobuhvatna priroda Sturnus obuhvata i daljinsku kontrolu, pa zlonamjerni akteri mogu kucati, pratiti aktivnosti, prikazivati crne slojeve preko ekrana i tiho izvršavati neovlaštene transakcije u pozadini.

Ovaj višeslojni pristup pokazuje složenost savremenih sajber prijetnji i naglašava potrebu za snažnim bezbjednosnim mjerama koje uzimaju u obzir raznovrsne pravce napada.

 

PREPORUKE

Zaštita od zlonamjernog softvera Sturnus za Android zahtjeva budnost i pridržavanje najboljih praksi u bezbjednosti mobilnih uređaja:

  1. Jedan od glavnih vektora širenja Sturnus zlonamjernog softvera jesu APK datoteke koje se distribuiraju kroz phishing, smishing i druge taktike društvenog inženjeringa. Rizik se može ublažiti tako što će korisnici aplikacije preuzimati isključivo iz pouzdanih izvora, poput Google Play prodavnice, gdje se one detaljno provjeravaju i skeniraju na prisustvo zlonamjernog softvera.
  2. Ugrađena bezbjednosna funkcija Google Play prodavnice može da otkrije i spriječi zlonamjerna preuzimanja prije nego što dospiju do uređaja. Da bi se zaštitili od Sturnus infekcija, korisnici treba da provjere da je Google Protect zaštita na njihovim uređajima omogućena.
  3. Phishing kampanje često se oslanjaju na ubjedljive taktike društvenog inženjeringa, koristeći lažne poruke ili elektronsku poštu koje se predstavljaju kao da dolaze od renomiranih izvora poput banaka ili sistem administratora. Zbog toga je važno biti oprezan i ne reagovati na zahtjeve za osjetljivim podacima ili radnje koje djeluju sumnjivo.
  4. Sturnus koristi Android uslugu pristupačnosti kako bi čitao sadržaj poruka i prikupljao podatke. Korisnici treba da odobravaju dozvole za pristup samo kada je to zaista neophodno, na primjer pri korištenju čitača ekrana ili drugih pomoćnih tehnologija.
  5. Održavanje operativnog sistema ažuriranim ključno je za otklanjanje ranjivosti koje Sturnus zlonamjerni softver može da iskoristi. Važno je obezbijediti da se sva ažuriranja primjenjuju blagovremeno kako bi se spriječila zloupotreba od strane ove i budućih prijetnji.
  6. Mogućnost Sturnus zlonamjernog softvera da bilježi otkucaje može dovesti do krađe osjetljivih informacija, uključujući podatke za prijavu i kodove za otključavanje uređaja. Korisnici treba da koriste složene lozinke i poseban PIN za svaki nalog ili uslugu kako bi umanjili posljedice u slučaju kompromitovanja.
  7. S obzirom na to da je fokus na bankarskom zlonamjernom softveru, korisnici moraju biti posebno oprezni i redovno pratiti svoje bankovne izvode i aktivnosti kreditnih kartica, jer svaka sumnjiva transakcija treba odmah da pokrene kontakt sa timovima za korisničku podršku banaka.
  8. Iako sigurnosni istraživači u datom kontekstu eksplicitno ne navode pouzdanu mobilnu bezbjednosnu aplikaciju kao efikasnu kontramjeru protiv Sturnus zlonamjernog softvera, njeno korištenje može pružiti dodatnu zaštitu od različitih vrsta prijetnji, uključujući bankarske trojance poput ovog.
  9. Dodavanje autentifikacije u dva koraka (eng. two-factor authentication – 2FA) osjetljivim nalozima i uslugama značajno poboljšava bezbjednost, jer zahtijeva i podatke za prijavu i dodatni kôd za potvrdu.
  10. Redovno pravljenje rezervnih kopija važnih datoteka i informacija obezbjeđuje kontinuitet poslovanja u slučaju da uređaj bude ugrožen ili izgubljen zbog infekcije Sturnus zlonamjernim softverom ili drugih razloga.
  11. Edukacija osoblja o bezbjednom korištenju mobilnih uređaja može znatno smanjiti rizik od širenja infekcija zlonamjernim softverom, uključujući Sturnus, unutar mreža kompanije. Redovne radionice i kursevi iz oblasti digitalne bezbjednosti pomažu da svi korisnici budu svjesni trenutnih prijetnji i da znaju kako da se efikasno zaštite, uključujući i bankarske trojance poput ovog.
  12. Posjedovanje plana odgovora na sajber prijetnje omogućava organizacijama i pojedincima da brzo i efikasno reaguju na bezbjednosne incidente, poput Sturnus infekcija, čime se smanjuje potencijalna šteta i izbjegavaju zastoji.
  13. Rješenja za upravljanje mobilnim uređajima (eng. mobile device management – MDM) mogu pomoći u sprovođenju politika na uređajima povezanim sa mrežama kompanije, uključujući bezbjedno korištenje aplikacija, redovna ažuriranja softvera i strože politike lozinki, što može spriječiti ili ublažiti uticaj zlonamjernog softvera poput Sturnus.
  14. Javne tačke pristupa internetu često su ugrožene od strane zlonamjernih aktera koji mogu presresti osjetljive podatke koji se prenose preko ovih veza bez zaštite šifrovanjem. Korištenje virtuelne privatne mreže (eng. virtual private network – VPN) šifruje sav saobraćaj između uređaja i servera, što zlonamjernim akterima znatno otežava presretanje vrijednih informacija.
  15. Dozvoljavanje zaposlenima da instaliraju aplikacije trećih strana koje nisu dostupne preko zvaničnih prodavnica može predstavljati značajan bezbjednosni rizik zbog mogućih infekcija zlonamjernim softverom poput Sturnus. Zato je potrebno izbjegavati korištenje nezvaničnih ili bočno učitanih aplikacija na uređajima kompanije.
  16. Kako se pojavljuju nove prijetnje, poput bankarskih trojanaca sa naprednim mogućnostima sličnim Sturnus zlonamjernom softveru, organizacije moraju prilagoditi svoje politike kako bi ostale efikasne u zaštiti uređaja zaposlenih od različitih sajber rizika.

Zaštita od Sturnus Android zlonamjernog softvera zahtijeva višeslojni pristup koji obuhvata budnost prilikom preuzimanja APK datoteka izvan Google Play prodavnice, održavanje bezbjednosnih funkcija aktivnim na uređajima i oprez pri nepoželjnim zahtjevima za osjetljivim informacijama. Prateći ove preporuke i ostajući informisani o novim prijetnjama u mobilnom ekosistemu, korisnici mogu znatno smanjiti rizik da postanu žrtve ovog naprednog bankarskog zlonamjernog softvera.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.