חוקרים מ-ThreatFabric גילו טרויאני בנקאי חדש עבור אנדרואיד בשם Sturnus. למרות שהוא עדיין בפיתוח, הוא כבר ישים מאוד ומהווה איום רציני.
Sturnus יכול ליירט הודעות מסיגנל, *וואטסאפ וטלגרם לאחר פענוחן באמצעות יכולות קריאת המסך המיוחדות של המערכת, תוך עקיפת הצפנה מקצה לקצה.
הטרויאני משתמש בשכבת HTML כדי לגנוב נתונים בנקאיים ותומך בשליטה מרחוק באמצעות VNC. התוכנה הזדונית מתחפשת ל-Google Chrome או Preemix Box ומופצת בשיטה לא ידועה. לאחר ההתקנה, Sturnus נרשם בשרת הפיקוד והבקרה, ומקים ערוצי HTTPS ו-AES WebSocket מאובטחים להעברת פקודות ונתונים וגישה ל-VNC. לאחר קבלת זכויות מנהל המכשיר, הוא יכול לעקוב אחר שינויי סיסמא, לנעול את המכשיר ולמנוע מחיקה, מה שמקשה על המחיקה ללא היפוך ידני.
כאשר משתמש פותח WhatsApp, Telegram או Signal, ל-Sturnus יש גישה להודעות, טקסטים מוקלדים, שמות אנשי קשר וצ'אטים בזמן אמת, והוא יכול אפילו להתפשר על צ'אטים מוצפנים מקצה לקצה.
ThreatFabric הדגים חלון מזויף "עדכון מערכת אנדרואיד" כדי להסתיר את פעילות Sturnus. למרות שהוא ראה שימוש מוגבל עד כה, הארכיטקטורה והפונקציונליות שלו תואמים לסוסים טרויאניים מתקדמים של אנדרואיד, מה שמצביע על פוטנציאל לאימוץ רחב יותר.
* שייך לחברת Meta, הנחשבת לקיצונית, פעילותה אסורה ברוסיה.
