Trojan Sturnus Android ghi lại các cuộc trò chuyện và chiếm quyền điều khiển

[Starlink]

Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một loại trojan ngân hàng Android mới có tên là Sturnus, cho phép đánh cắp thông tin đăng nhập và chiếm quyền điều khiển toàn bộ thiết bị để thực hiện gian lận tài chính.

"Điểm khác biệt chính là khả năng vượt qua tin nhắn được mã hóa", ThreatFabric cho biết trong một báo cáo chia sẻ với The Hacker News. "Bằng cách ghi lại nội dung trực tiếp từ màn hình thiết bị sau khi giải mã, Sturnus có thể giám sát các liên lạc qua WhatsApp, Telegram và Signal."

Một tính năng đáng chú ý khác là khả năng dàn dựng các cuộc tấn công phủ lớp bằng cách tạo màn hình đăng nhập giả mạo trên các ứng dụng ngân hàng để đánh cắp thông tin đăng nhập của nạn nhân. Theo công ty bảo mật di động Hà Lan, Sturnus là công ty tư nhân và hiện đang được đánh giá là đang trong giai đoạn đánh giá. Các hiện vật phân phối phần mềm độc hại ngân hàng được liệt kê dưới đây:

    Google Chrome ("com.klivkfbky.izaybebnx")
    Hộp Preemix ("com.uvxuthoq.noscjahae")

Phần mềm độc hại này được thiết kế để nhắm mục tiêu cụ thể vào các tổ chức tài chính ở Nam và Trung Âu với các lớp phủ cụ thể theo từng khu vực.

Tên Sturnus ám chỉ việc sử dụng mô hình giao tiếp hỗn hợp kết hợp văn bản thuần túy, AES và RSA, với ThreatFabric so sánh nó với loài sáo châu Âu (tên khoa học: Sturnus vulgaris), kết hợp nhiều loại tiếng huýt sáo và được biết đến là loài bắt chước giọng nói.

Sau khi được khởi chạy, trojan sẽ liên hệ với máy chủ từ xa qua các kênh WebSocket và HTTP để đăng ký thiết bị và nhận lại các dữ liệu được mã hóa. Nó cũng thiết lập một kênh WebSocket để cho phép kẻ tấn công tương tác với thiết bị Android bị xâm nhập trong các phiên Mạng Ảo (VNC).

Ngoài việc cung cấp lớp phủ giả mạo cho các ứng dụng ngân hàng, Sturnus còn có khả năng lợi dụng các dịch vụ trợ năng của Android để ghi lại thao tác phím và tương tác giao diện người dùng (UI). Ngay khi lớp phủ cho một ngân hàng được cung cấp cho nạn nhân và thông tin đăng nhập bị đánh cắp, lớp phủ cho mục tiêu cụ thể đó sẽ bị vô hiệu hóa để tránh gây nghi ngờ cho người dùng.

Hơn nữa, nó có thể hiển thị lớp phủ toàn màn hình chặn mọi phản hồi trực quan và mô phỏng màn hình cập nhật hệ điều hành Android để tạo ấn tượng cho người dùng rằng các bản cập nhật phần mềm đang được tiến hành, trong khi thực tế, nó cho phép các hành động độc hại được thực hiện ở chế độ nền.

Một số tính năng khác của phần mềm độc hại bao gồm hỗ trợ giám sát hoạt động của thiết bị, cũng như tận dụng các dịch vụ trợ năng để thu thập nội dung trò chuyện từ Signal, Telegram và WhatsApp khi nạn nhân mở chúng và gửi thông tin chi tiết về mọi thành phần giao diện hiển thị trên màn hình.

Điều này cho phép kẻ tấn công tái tạo bố cục ở phía chúng và thực hiện từ xa các hành động liên quan đến nhấp chuột, nhập văn bản, cuộn, khởi chạy ứng dụng, xác nhận quyền và thậm chí kích hoạt lớp phủ màn hình đen. Một cơ chế điều khiển từ xa thay thế được tích hợp sẵn trong Sturnus sử dụng khung chụp màn hình của hệ thống để phản chiếu màn hình thiết bị theo thời gian thực.

ThreatFabric cho biết: "Bất cứ khi nào người dùng điều hướng đến màn hình cài đặt có thể vô hiệu hóa trạng thái quản trị viên, phần mềm độc hại sẽ phát hiện hành vi này thông qua tính năng giám sát khả năng truy cập, xác định các điều khiển có liên quan và tự động điều hướng khỏi trang để làm gián đoạn người dùng".

"Cho đến khi quyền quản trị viên bị thu hồi theo cách thủ công, cả việc gỡ cài đặt thông thường và xóa thông qua các công cụ như ADB đều bị chặn, giúp phần mềm độc hại được bảo vệ mạnh mẽ trước các nỗ lực dọn dẹp."

Khả năng giám sát môi trường mở rộng cho phép thu thập thông tin cảm biến, tình trạng mạng, dữ liệu phần cứng và danh sách các ứng dụng đã cài đặt. Hồ sơ thiết bị này hoạt động như một vòng lặp phản hồi liên tục, giúp kẻ tấn công điều chỉnh chiến thuật để tránh bị phát hiện.

ThreatFabric cho biết: "Mặc dù mức độ lây lan vẫn còn hạn chế ở giai đoạn này, nhưng sự kết hợp giữa phạm vi địa lý mục tiêu và trọng tâm ứng dụng có giá trị cao cho thấy những kẻ tấn công đang tinh chỉnh công cụ của mình trước khi tiến hành các hoạt động rộng hơn hoặc phối hợp hơn".