Na rynku cyberzagrożeń pojawił się nowy, wyjątkowo niebezpieczny trojan – Sturnus. To złośliwe oprogramowanie stworzone z myślą o użytkownikach Androida, które podszywa się pod popularne aplikacje i w ten sposób zdobywa dostęp do telefonu. Jego celem są przede wszystkim dane bankowe, ale możliwości działania są znacznie szersze. Sturnus jest w pełni funkcjonalny, a pod względem technicznym przewyższa wiele dobrze znanych rodzin malware. Co więcej, potrafi tak głęboko ingerować w system, iż użytkownik często nie ma świadomości, iż jego urządzenie zostało przejęte.
Jak działa Sturnus?
Trojan trafia na urządzenia głównie poprzez pliki APK pobierane z nieznanych źródeł lub złośliwe załączniki w komunikatorach.
Złośliwe oprogramowanie Sturnus i jego możliwości / Źródło: ThreatFabricPo instalacji podszywa się pod aplikacje takie jak Google Chrome czy inne preinstalowane programy, aby zmylić użytkownika. Następnie żąda specjalnych uprawnień systemowych Androida. To właśnie te uprawnienia są szczególnie groźne – pozwalają aplikacji:
- odczytywać zawartość ekranu,
- rejestrować kliknięcia i wpisywany tekst,
- wykonywać gesty i wprowadzać własny tekst,
- nakładać fałszywe interfejsy na aplikacje bankowe, aby wyłudzać dane logowania.
W praktyce oznacza to, iż Sturnus może działać jak „niewidzialny operator” telefonu – widzi to, co widzi użytkownik, i steruje urządzeniem bez jego wiedzy. Dodatkowo zdobywa prawa administratora, co utrudnia jego odinstalowanie, a wszystkie skradzione informacje przesyła do serwerów cyberprzestępców w postaci zaszyfrowanej.
Odpowiedź Google: Play Protect strzeże użytkowników
W reakcji na doniesienia o Sturnusie, rzecznik Google przekazał Android Authority, iż żadne aplikacje zawierające tego trojana nie zostały wykryte w Sklepie Play. Firma podkreśliła, iż użytkownicy Androida są chronieni przez Google Play Protect, który działa domyślnie na urządzeniach z Usługami Google Play. Play Protect potrafi ostrzegać lub blokować aplikacje wykazujące złośliwe zachowanie – choćby jeżeli pochodzą spoza oficjalnego sklepu.
Komunikat Google Play Protect informuje o zablokowaniu instalacji aplikacji / Źródło: GoogleTo oznacza, iż znane wersje Sturnusa nie stanowią bezpośredniego zagrożenia dla osób korzystających z Google Play. Jednak eksperci podkreślają, iż system ochrony nie jest w stanie zabezpieczyć użytkowników przed każdą nową, nieznaną wersją malware.
Choć komunikat Google jest uspokajający, najlepszą linią obrony pozostaje ostrożność. Sturnus rozprzestrzenia się głównie poprzez pliki APK z niepewnych źródeł, dlatego najważniejsze jest, aby nie pobierać aplikacji spoza Sklepu Play. To właśnie oficjalny sklep zapewnia proces weryfikacji, który znacząco zmniejsza ryzyko infekcji i utraty danych. Jeden pochopny klik w nieznany plik może kosztować utratę prywatności i pieniędzy. Sturnus pokazuje, iż cyberprzestępcy stale rozwijają swoje narzędzia i szukają nowych sposobów na obejście zabezpieczeń.
Źródło: ThreatFabric, Android Authority / Zdj. otwierające: Unsplash (@esen_aza), Canva
