據媒體報道,安全研究人員近期發現一款名為「Sturnus」的新型安卓銀行木馬,能夠繞過端到端加密保護,竊取Signal、WhatsApp和Telegram等通訊應用中的內容。
該木馬主要通過惡意APK文件傳播,一旦安裝,便會偽裝成谷歌Chrome等系統應用,並濫用安卓系統的無障礙服務與「在其他應用上層顯示」權限,從而實現對受感染設備的近乎完全控制。
在獲取權限後,Sturnus能夠在用戶無感知的情況下執行多項惡意操作,包括監視螢幕內容、錄製螢幕、記錄點擊與輸入行為,甚至自行操控界面和輸入文本。這種基於螢幕讀取的方式使其能夠直接獲取解密後的通訊內容,從而繞過了端到端加密機制。
技術分析進一步顯示,Sturnus與指揮伺服器之間的通信部分採用明文傳輸,部分使用RSA與AES加密。
木馬還會通過加密通道註冊至伺服器,並建立WebSocket連接以支持VNC遠程實時控制。攻擊者可藉此模擬用戶操作,如進行轉賬、修改設置等,同時在界面顯示偽造的系統更新畫面以掩蓋惡意行為。
針對這一威脅,安全機構ThreatFabric建議用戶避免安裝來源不明的APK文件,保持Google Play Protect處於開啟狀態,並謹慎授予無障礙功能權限。
谷歌公司亦對此回應稱,經檢測,Google Play商店中未發現任何含有該惡意軟體的應用,並強調Play Protect功能可在默認狀態下為用戶提供防護。
