Ένα νέο τραπεζικό κακόβουλο λογισμικό που ονομάζεται Sturnus έχει εμφανιστεί ως σημαντική απειλή για τους χρήστες κινητών τηλεφώνων σε όλη την Ευρώπη.
Ερευνητές ασφαλείας ανακάλυψαν ότι αυτό το εξελιγμένο trojan Android μπορεί να συλλάβει κρυπτογραφημένα μηνύματα από δημοφιλείς εφαρμογές ανταλλαγής μηνυμάτων όπως το WhatsApp, το Telegram και το Signal, έχοντας πρόσβαση στο περιεχόμενο απευθείας από την οθόνη της συσκευής μετά την αποκρυπτογράφηση.
Η ικανότητα του κακόβουλου λογισμικού να παρακολουθεί αυτές τις επικοινωνίες σηματοδοτεί μια σοβαρή πρόοδο στις απειλές mobile banking, συνδυάζοντας την κλοπή διαπιστευτηρίων με εκτεταμένες δυνατότητες απομακρυσμένης πρόσβασης.
Το κακόβουλο λογισμικό λειτουργεί συλλέγοντας τραπεζικά διαπιστευτήρια μέσω πειστικών πλαστών οθονών σύνδεσης που αναπαράγουν τέλεια τις νόμιμες τραπεζικές εφαρμογές.
Αυτό που κάνει το Sturnus ιδιαίτερα επικίνδυνο είναι η ικανότητά του να παρέχει στους εισβολείς πλήρη κατάληψη συσκευών, επιτρέποντάς τους να παρακολουθούν όλη τη δραστηριότητα των χρηστών χωρίς φυσική αλληλεπίδραση.
Οι επιτιθέμενοι μπορούν να εισάγουν μηνύματα κειμένου, να υποκλέψουν επικοινωνίες, ακόμη και να μαυρίσουν την οθόνη της συσκευής ενώ πραγματοποιούν δόλιες συναλλαγές στο παρασκήνιο, αφήνοντας τα θύματα να αγνοούν εντελώς την κλοπή που συμβαίνει στις παραβιασμένες συσκευές τους.
Αναλυτές ασφαλείας Threat Fabric αναγνωρισθείς Το Sturnus ως trojan που λειτουργεί ιδιωτικά αυτή τη στιγμή βρίσκεται στην πρώιμη φάση δοκιμών του, με στοχευμένες εκστρατείες που έχουν ήδη διαμορφωθεί έναντι χρηματοπιστωτικών ιδρυμάτων σε όλη τη Νότια και Κεντρική Ευρώπη.
Αν και το κακόβουλο λογισμικό παραμένει σε περιορισμένη ανάπτυξη, οι ερευνητές τονίζουν ότι το Sturnus είναι πλήρως λειτουργικό και πιο προηγμένο από πολλές καθιερωμένες οικογένειες κακόβουλου λογισμικού σε ορισμένες πτυχές, ιδιαίτερα όσον αφορά το πρωτόκολλο επικοινωνίας και τις δυνατότητες υποστήριξης συσκευών.
.webp.jpeg)
Αυτός ο συνδυασμός εξελιγμένων χαρακτηριστικών και στοχευμένης γεωγραφικής εστίασης υποδηλώνει ότι οι εισβολείς βελτιώνουν τα εργαλεία τους πριν ξεκινήσουν ευρύτερες επιχειρήσεις.
Το τρέχον τοπίο απειλών υποδεικνύει ότι το Sturnus.A λειτουργεί με στόχευση συγκεκριμένης περιοχής, χρησιμοποιώντας προσαρμοσμένα πρότυπα επικάλυψης που έχουν σχεδιαστεί για θύματα της Νότιας και Κεντρικής Ευρώπης.
Οι χειριστές του κακόβουλου λογισμικού επιδεικνύουν ξεκάθαρη εστίαση στην παραβίαση ασφαλών πλατφορμών ανταλλαγής μηνυμάτων, δοκιμάζοντας την ικανότητα του trojan να καταγράφει ευαίσθητες επικοινωνίες σε διαφορετικά περιβάλλοντα.
Τα σχετικά λίγα δείγματα που έχουν εντοπιστεί μέχρι στιγμής, σε συνδυασμό με σύντομες διαλείπουσες εκστρατείες και όχι με συνεχή δραστηριότητα μεγάλης κλίμακας, υποδεικνύουν ότι η λειτουργία παραμένει σε φάσεις αξιολόγησης και συντονισμού.
Κατανόηση του Πρωτοκόλλου Επικοινωνίας
Η πολύπλοκη δομή επικοινωνίας του κακόβουλου λογισμικού ενέπνευσε το όνομά του, κάνοντας παραλληλισμούς με το πουλί Sturnus vulgaris, του οποίου η γρήγορη και ακανόνιστη φλυαρία μεταπηδά ανάμεσα σε σφυρίγματα, κλικ και απομιμήσεις.
Ο Sturnus αντικατοπτρίζει αυτό το χαοτικό μοτίβο μέσω του πολυεπίπεδου μείγματος απλού κειμένου, RSA και επικοινωνιών AES που εναλλάσσονται απρόβλεπτα μεταξύ απλών και σύνθετων μηνυμάτων.
.webp.jpeg)
Το κακόβουλο λογισμικό δημιουργεί μια σύνδεση με τον διακομιστή εντολών και ελέγχου του χρησιμοποιώντας κανάλια WebSocket (WSS) και HTTP, μεταδίδοντας έναν συνδυασμό κρυπτογραφημένων δεδομένων και δεδομένων απλού κειμένου κυρίως μέσω συνδέσεων WebSocket.
Η τεχνική χειραψία ξεκινά με ένα αίτημα HTTP POST όπου το κακόβουλο λογισμικό καταγράφει τη συσκευή χρησιμοποιώντας ένα ωφέλιμο φορτίο κράτησης θέσης. Ο διακομιστής αποκρίνεται με ένα αναγνωριστικό πελάτη UUID και ένα δημόσιο κλειδί RSA.
Στη συνέχεια, το κακόβουλο λογισμικό δημιουργεί ένα κλειδί AES 256-bit τοπικά, το κρυπτογραφεί χρησιμοποιώντας RSA/ECB/OAEPWithSHA-1AndMGF1Padding και μεταδίδει το κρυπτογραφημένο κλειδί πίσω ενώ αποθηκεύει το κλειδί AES απλού κειμένου στη συσκευή σε μορφή Base64.
Μόλις ολοκληρωθεί η ανταλλαγή κλειδιών, όλη η επόμενη επικοινωνία λαμβάνει προστασία μέσω AES/CBC/PKCS5Padding με κλειδί κρυπτογράφησης 256 bit.
Ο trojan δημιουργεί νέα διανύσματα αρχικοποίησης 16 byte για κάθε μήνυμα, τα προσαρτά σε κρυπτογραφημένα ωφέλιμα φορτία και αναδιπλώνει τα αποτελέσματα σε προσαρμοσμένα δυαδικά πρωτόκολλα που περιέχουν κεφαλίδες τύπου μηνύματος, δεδομένα μήκους μηνύματος και UUID πελάτη.
Αυτό το εξελιγμένο σχήμα κρυπτογράφησης καταδεικνύει την τεχνογνωσία των προγραμματιστών σε ασφαλείς επικοινωνίες, διατηρώντας παράλληλα την κακόβουλη λειτουργικότητα.
