WhatsApp、Telegram和Signal用户成为新型安卓银行木马 Sturnus 重点目标

HackerNews 编译，转载请注明出处：

一款名为Sturnus的新型安卓银行木马具备完全控制设备的能力，其攻击目标覆盖了WhatsApp、Telegram和Signal等安全通讯软件的信息。它通过捕获屏幕内容来绕过加密通讯，能够窃取银行凭证、远程控制设备，并向用户隐藏欺诈行为。

ThreatFabric的分析显示，Sturnus恶意软件仍处于开发阶段，或目前正处于有限的测试期。然而，该木马已将中南欧的金融机构列为目标，预示着攻击者正在为更广泛的攻击活动做准备。该恶意软件功能完备，并在通信协议和设备支持方面超越了已有的木马家族。有证据表明，攻击者开展了短暂、间歇性的活动，重点针对WhatsApp、Telegram和Signal等加密通讯应用，并使用了针对特定地区的攻击模板。操作者正在积极优化其工具以捕获敏感通信，为未来更协同、大规模的攻击行动做准备。

ThreatFabric在报告中指出："Sturnus除了针对银行应用外，还会监控前台应用。一旦受害者打开如WhatsApp、Signal或Telegram等加密通讯服务，它会自动激活其UI树收集功能。"

该恶意代码的通信模式模仿了紫翅椋鸟杂乱无章的鸣叫，会在明文、RSA和AES消息之间不可预测地切换。它通过HTTP POST请求注册设备，接收一个UUID和RSA公钥，随后生成本地AES-256密钥，用RSA公钥加密后以Base64格式存储。密钥交换完成后，它使用AES/CBC/PKCS5Padding加密所有消息，在数据前附加一个随机的初始向量，并将数据封装在自定义结构中。

Sturnus通过两个相互关联的机制窃取数据：HTML覆盖层和基于无障碍服务的键盘记录。它存储针对特定银行应用的网络钓鱼模板，并通过一个WebView显示这些模板，该WebView会捕获所有输入并将其发送到命令与控制服务器。数据外泄后，它会禁用已使用的覆盖层以避免检测。它还可以使用全屏遮挡覆盖层来隐藏其活动。

其无障碍服务会记录文本变化、点击事件、焦点切换以及完整的UI树更新，即使屏幕捕获被阻止，攻击者也能据此重构用户操作。这些功能还使该恶意软件能够提取用于解锁设备的PIN码和密码。

报告进一步说明："由于它依赖于无障碍服务日志记录而非网络拦截，该恶意软件可以读取屏幕上出现的所有内容——包括联系人、完整的对话线程以及收发消息的内容——而且是实时进行。这使得该功能尤其危险：它通过在被合法应用解密后访问信息，完全绕开了端到端加密，让攻击者能够直接查看本应私密的对话。"

Sturnus通过两种互补的捕获方法，实现了对受感染设备的完全远程控制：一是通过安卓的显示捕获框架进行实时屏幕镜像；二是在标准捕获失败时，通过无障碍事件构建屏幕截图的备用系统。随后，一个原生库通过VNC RFB协议管理会话。该恶意软件还会发送所有屏幕元素的结构化映射，跟踪点击、文本输入、滚动和应用启动，而无需使用图像。这种方法占用带宽更少，能避免屏幕捕获警报，并且即使对隐藏或受保护的元素也有效。

Sturnus通过获取设备管理员权限来增强其持久性，它会监控解锁事件、阻止用户尝试撤销其权限，并防止自身被卸载。一个庞大的监控子系统负责追踪系统变更、网络连接状态、电源状态、SIM卡更换、应用安装、root迹象以及开发者选项。Sturnus还会分析传感器、硬件和网络信息，以调整其策略、规避分析，并保持对设备的长期控制。

报告总结道："Sturnus代表了一种复杂且全面的威胁，它实现了多种攻击向量，使攻击者能够近乎完全地控制受感染设备。基于覆盖层的凭证窃取、消息监控、广泛的键盘记录、实时屏幕流传输、远程控制、设备管理员权限滥用以及全面的环境监控相结合，对受害者的财务安全和隐私构成了极其危险的威胁。"