详细内容或原文请订阅后点击阅览
Sturnus:新的 Android 银行木马针对 WhatsApp、Telegram 和 Signal
Android 木马 Sturnus 的目标是来自 WhatsApp、Telegram 和 Signal 等安全消息应用程序的通信。 Sturnus 是一种新的 Android 银行木马,具有完整的设备接管能力。它通过捕获屏幕内容来绕过加密消息传递,并可以窃取银行凭证、远程控制设备并对用户隐藏欺诈行为。 ThreatFabric 分析显示 Sturnus 恶意软件 [...]
来源:Security Affairs _恶意软件Sturnus:新的 Android 银行木马针对 WhatsApp、Telegram 和 Signal
皮耶路易吉·帕格尼尼 2025 年 11 月 20 日Android 木马 Sturnus 的目标是来自 WhatsApp、Telegram 和 Signal 等安全消息应用程序的通信。
Sturnus 是一种新的 Android 银行木马,具有完整的设备接管能力。它通过捕获屏幕内容来绕过加密消息传递,并可以窃取银行凭证、远程控制设备并对用户隐藏欺诈行为。
ThreatFabric 分析显示 Sturnus 恶意软件仍在开发中或目前处于有限的测试阶段。然而,该恶意软件已经针对南欧和中欧的金融机构,这表明该恶意软件正在为更广泛的活动做好准备。该恶意软件功能齐全,在通信协议和设备支持方面超越了现有的系列。有证据表明,短期、间歇性的活动侧重于 WhatsApp、Telegram 和 Signal 等安全消息应用程序,并具有特定于区域的模板。运营商积极改进捕获敏感通信的工具,为更加协调的大规模运营做好准备。
“除了银行应用程序之外,Sturnus 还监控前台应用程序,并在受害者打开 WhatsApp、Signal 或 Telegram 等加密消息服务时自动激活其 UI 树集合。”阅读 ThreatFabric 发布的报告。
报告恶意代码模仿 Sturnus vulgaris 不稳定的喋喋不休,在明文、RSA 和 AES 消息之间不可预测地切换。它通过 HTTP POST 注册设备,接收 UUID 和 RSA 密钥,然后生成本地 AES-256 密钥,使用 RSA 对其进行加密,并将其存储在 Base64 中。密钥交换后,它使用 AES/CBC/PKCS5Padding 加密所有消息,在前面添加新的 IV,并将数据包装在 custo 中
在 Twitter 上关注我:@securityaffairs、Facebook 和 Mastodon
在 Twitter 上关注我: @securityaffairs 和 脸书 乳齿象皮尔路易吉·帕格尼尼
(SecurityAffairs – 黑客攻击、恶意软件)
安全事务