Un nou troian bancar (malware conceput pentru a intercepta datele de acces în conturile bancare) se răspândește rapid în sudul și centrul Europei prin intermediul fișierelor APK malițioase (aplicații Android instalate din surse externe Google Play). Probabil reprezintă o etapă de testare, cu o campanie malware mai amplă planificată pentru viitorul apropiat.
Descoperit de cercetătorii MTI Security, malware-ul denumit Sturnus (graurele) generează îngrijorare, deoarece poate monitoriza conversațiile protejate ale utilizatorilor și poate extrage informații despre conturile bancare fără a atrage suspiciuni.
Acest malware poate accesa mesajele text din aplicațiile criptate, interceptând ecranul dispozitivului după decriptare. Astfel, mecanismele de securitate din aplicații populare de mesagerie, precum WhatsApp, Telegram și Signal, devin ineficiente. Mai mult, Sturnus poate suprapune ecrane false de autentificare, cu un aspect realist, peste aplicațiile bancare, inducând utilizatorii în eroare și determinându-i să dezvăluie detaliile conturilor.
De asemenea, malware-ul poate imita un ecran de actualizare Android, sugerând că o actualizare de sistem este în curs, în timp ce, de fapt, hackerii preiau controlul telefonului și îl administrează de la distanță, în timp ce utilizatorul așteaptă finalizarea actualizării. Nimeni nu ar avea curajul să oprească un proces de actualizare Android, temându-se că astfel dispozitivul s-ar putea bloca.
Sturnus poate, de asemenea, să obțină drepturi de administrator pe dispozitiv, urmărind tentativele de deblocare și vizualizând parolele, oferind atacatorilor acces complet pentru a preveni dezinstalarea malware-ului.
În această etapă incipientă de analiză, specialiștii nu au confirmat încă metoda precisă de transmitere a malware-ului, însă se presupune că principalul mod de propagare ar putea fi trimiterea de fișiere infectate prin aplicații de mesagerie. Odată instalat, malware-ul poate deghiza în versiuni false ale aplicațiilor legitime, precum Google Chrome.
Deocamdată, protecția oferită de Google este limitată: „Conform detectărilor noastre, nu există aplicații cu acest malware pe Google Play. Utilizatorii Android sunt automat protejați prin funcția Google Play Protect, activată implicit pe dispozitivele cu servicii Google. Această funcție avertizează sau blochează aplicațiile cunoscute pentru comportament rău intenționat, inclusiv cele provenite din surse externe Play.”