اكتشف باحثون أمنيون فيروسًا جديدًا يستهدف البنوك على نظام التشغيل أندرويد يسمى Sturnus، وهو قادر على التقاط الاتصالات على منصات مشفرة مثل Signal وتيليغرام وواتساب.
يتضمن هذا التهديد أيضًا إعدادات لسرقة حسابات من عدة مؤسسات مالية أوروبية باستخدام قوالب تراكب.
ووفقًا لباحثين في ThreatFabric، يستخدم هذا الفيروس، المعروف باسم Sturnus، تقنيات جمع الرسائل النصية العادية، بالإضافة إلى تشفير RSA لهذه التبادلات مع خادم القيادة والتحكم.
الأمر الأكثر إثارة للقلق هو قدرته على الوصول إلى الرسائل المشفرة بعد فك تشفيرها، والتقاط محتواها مباشرةً من شاشة الجهاز. تبدأ عملية الإصابة بتنزيل ملف APK خبيث مُتنكر في شكل تطبيق معروف مثل كروم.
بمجرد تثبيته، يسجل حصان طروادة نفسه في البنية التحتية C2، ويجري تبادلًا مشفّرًا للبيانات، وينشئ قناتين مشفّرتين: واحدة عبر HTTPS للأوامر، والأخرى عبر WebSocket مشفّر.
يستغل هذا البرنامج الخبيث خدمات إمكانية الوصول في نظام أندرويد، مما يسمح له بقراءة النصوص على الشاشة، وتسجيل ضغطات المفاتيح، وتحديد التطبيقات المفتوحة، والضغط على الأزرار، والتنقل بين القوائم، وحتى كتابة اسم المستخدم.
علاوة على ذلك، يمكنه الحصول على صلاحيات المسؤول على الجهاز، مما يجعل إزالته صعبة للغاية.
عندما يفتح المستخدم تطبيقات المراسلة، يسمح الجهاز المصاب لحصان طروادة باكتشاف المحتوى والنصوص المكتوبة وأسماء جهات الاتصال والمحادثات بأكملها. هذا يتجاوز التشفير الشامل تمامًا، ويمنح الوصول إلى الرسائل بمجرد عرضها في التطبيقات.
يتيح وضع VNC لمجرمي الإنترنت السيطرة على الجهاز دون أن يلاحظ الضحية ذلك.
كما اكتشف الباحثون أيضًا واجهاتٍ وهمية، مثل شاشاتٍ تعرض تحديثاتٍ مزعومة للنظام، تُستخدم لإخفاء الأنشطة الخبيثة أو لتفويض التحويلات المصرفية.
ينتشر حصان طروادة المصرفي حاليًا في أجزاء من جنوب ووسط أوروبا، لذا يُنصح بتوخي الحذر بشأن احتمال وصوله إلى مناطق أخرى.
ليست هناك تعليقات:
إرسال تعليق