11月26日消息�����,安卓據(jù)媒體報道��,新病襲偽安全研究人員近期發(fā)現(xiàn)一款名為“Sturnus”的毒S讀新型安卓銀行木馬����,能夠繞過端到端加密保護,裝成竊取Signal����、屏幕WhatsApp和Telegram等通訊應(yīng)用中的內(nèi)容內(nèi)容。
該木馬主要通過惡意APK文件傳播�,密碼一旦安裝,安卓便會偽裝成谷歌Chrome等系統(tǒng)應(yīng)用�,新病襲偽并濫用安卓系統(tǒng)的毒S讀無障礙服務(wù)與“在其他應(yīng)用上層顯示”權(quán)限,從而實現(xiàn)對受感染設(shè)備的裝成近乎完全控制�。
在獲取權(quán)限后,屏幕Sturnus能夠在用戶無感知的內(nèi)容情況下執(zhí)行多項惡意操作����,包括監(jiān)視屏幕內(nèi)容��、密碼錄制屏幕����、安卓記錄點擊與輸入行為����,甚至自行操控界面和輸入文本��。這種基于屏幕讀取的方式使其能夠直接獲取解密后的通訊內(nèi)容��,從而繞過了端到端加密機制��。
技術(shù)分析進一步顯示�,Sturnus與指揮服務(wù)器之間的通信部分采用明文傳輸,部分使用RSA與AES加密�。木馬還會通過加密通道注冊至服務(wù)器,并建立WebSocket連接以支持VNC遠程實時控制���。攻擊者可借此模擬用戶操作��,如進行轉(zhuǎn)賬��、修改設(shè)置等��,同時在界面顯示偽造的系統(tǒng)更新畫面以掩蓋惡意行為���。
針對這一威脅�,安全機構(gòu)ThreatFabric建議用戶避免安裝來源不明的APK文件��,保持Google Play Protect處于開啟狀態(tài)��,并謹慎授予無障礙功能權(quán)限��。
谷歌公司亦對此回應(yīng)稱��,經(jīng)檢測���,Google Play商店中未發(fā)現(xiàn)任何含有該惡意軟件的應(yīng)用�,并強調(diào)Play Protect功能可在默認狀態(tài)下為用戶提供防護��。
