Un nou troian bancar se răspândește rapid printre utilizatorii de Android europeni

Răspândit prin intermediul fișierelor APK malițioase (aplicații de android instalate din afara Play Store), un nou troian bancar (malware conceput pentru a facilita interceptarea datelor de acces în conturile bancare) se propagă cu rapiditate în sudul și centrul Europei. Probabil că avem de-a face cu o etapă de testare, adevărata campanie malware accelerând în viitorul apropiat.

Identificat de către cercetătorii MTI Security, malware-ul botezat Sturnus (graurele) stârnește îngrijorare deosebită, deoarece poate spiona chat-urile protejate ale utilizatorilor și extrage datele conturilor bancare fără să ridice suspiciuni.

Malware-ul este capabil să acceseze mesajele text din aplicațiile criptate interceptând ecranul dispozitivului după ce mesajele au fost decriptate. În acest fel, mecanismele de protecție încorporate în aplicații de mesagerie populare, precum WhatsApp, Telegram și Signal, devin complet inutile. Mai mult decât atât, Sturnus poate suprapune false ecrane de login, cu aspect realist, peste aplicațiile bancare, păcălind utilizatorii să își dezvăluie detaliile contului.

Un alt truc este imitarea unui ecran de actualizare Android, care poate indica faptul că o actualizare de software este în curs de desfășurare, în timp ce, în realitate, autorul malware-ului a preluat deja controlul asupra telefonului tău și îl controlează de la distanță, în timp ce tu aștepți cuminte ca telefonul să termine de aplicat actualizării importante. Cum ar fi, cine ar îndrăzni să întrerupă un proces de actualizare Android, știind că asta i-ar putea lăsa dispozitivul nefuncțional.

De asemenea, Sturnus poate „învăța” cum să obțină drepturi de administrator asupra dispozitivului prin urmărirea încercărilor de deblocare și vizualizarea parolelor, permițând atacatorilor să obțină exact ce au nevoie pentru a preveni dezinstalarea malware-ului.

Încă prinși în etapa de analizare a campaniei aflată abia la început, cercetătorii nu știu exact cum se transmite această formă de malware, dar speculează că metoda principala de propagare este trimiterea de fișiere infectate prin aplicații de mesagerie. Odată infiltrată pe dispozitiv, aplicația rău intenționată se deghizează într-o versiune falsă a Google Chrome sau a altor aplicații legitime.

Din păcate ajutorul oferit de Google se limitează deocamdată la negarea oricărei responsabilități: ”Pe baza detectării noastre actuale, nu s-au găsit aplicații care conțin acest malware pe Google Play. Utilizatorii Android sunt protejați automat împotriva versiunilor cunoscute ale acestui malware prin Google Play Protect , care este activat în mod implicit pe dispozitivele Android cu servicii Google Play. Google Play Protect poate avertiza utilizatorii sau poate bloca aplicațiile despre care se știe că prezintă un comportament rău intenționat, chiar și atunci când aceste aplicații provin din surse din afara Play.”