Pratite nas preko RSS-aSturnus: novi Android bankarski trojanac koji snima šifrovane WhatsApp, Telegram i Signal chatove
Mobilni telefoni, 21.11.2025, 12:00 PM
Istraživači iz ThreatFabric-a otkrili su novog bankarskog trojanca za Android nazvanog Sturnus, koji je dizajniran za krađu kredencijala, nadzor komunikacija i potpuno preuzimanje uređaja radi finansijskih prevara.
Prema ThreatFabric-u, ključna razlika u odnosu na druge mobilne trojance je sposobnost da zaobiđe šifrovane poruke. Umesto da presreće saobraćaj, Sturnus jednostavno snima sadržaj ekrana nakon dešifrovanja, što mu omogućava da prati komunikaciju preko WhatsApp-a, Telegrama, pa čak i Signala.
Malver takođe koristi overlay napade - prikazuje lažne ekrane za prijavu koji se pojavljuju preko legitimnih aplikacija banaka i tako krade korisnička imena i lozinke. Procena istraživača je da je malver u ranoj fazi razvoja, i da se za sada ne prodaje.
Sturnus se distribuira preko aplikacija Google Chrome (com.klivkfbky.izaybebnx) i Preemix Box (com.uvxuthoq.noscjahae), a mete su banke u Južnoj i Centralnoj Evropi, sa overlay ekranima prilagođenim određenim regionima.
Naziv Sturnus inspirisan je čvorkom (Sturnus vulgaris), pticom pevačicom poznatom po mešanju različitih zvukova, što odgovara mešanom komunikacionom obrascu malvera (plaintext + AES + RSA).
Nakon pokretanja, trojanac se povezuje sa komandno-kontrolnim serverom putem WebSocket i HTTP kanala, registruje uređaj i prima šifrovane instrukcije. Istovremeno otvara WebSocket kanal za interakciju napadača tokom VNC sesija, što praktično omogućava daljinsku kontrolu telefona u realnom vremenu.
Sturnus zloupotrebljava Android Accessibility Services da presreće pritiskanje tastera, vidi svaki element na ekranu, rekonstruiše izgled aplikacija sa uređaja žrtve, izvršava klikove, unos teksta, skrolovanje, pokretanje aplikacija, potvrde dozvola, sakrije ekran crnom pozadinom, i imitira ekran za ažuriranje operativnog sistema Androida kako bi korisniku ostavio utisak da je ažuriranja softvera u toku, dok u pozadini omogućava izvršavanje zlonamernih radnji.
Kada žrtva otvori Signal, Telegram ili WhatsApp, Sturnus automatski prikuplja sadržaj razgovora. Ako žrtva pokuša da uđe u podešavanja i ukloni administratorska prava, malver to detektuje i automatski „beži“ sa ekrana da spreči deinstalaciju. Pritom blokira klasičnu deinstalaciju i ADB uklanjanje sve dok administratorska prava ne budu ručno oduzeta.
Uz to nadgleda okolinu uređaja - senzore, mrežne uslove, hardverske karakteristike, listu instaliranih aplikacija, i prilagođava ponašanje kako bi izbegao detekciju.
ThreatFabric upozorava da iako je širenje malvera u ovoj fazi ograničeno, kombinacija preciznog geografskog targetiranja i fokusa na aplikacije velike vrednosti ukazuje da se napadači pripremaju za širu kampanju.
Izdvojeno
Apple objavio hitno ažuriranje: obrisane poruke ostajale u notifikacijama iPhone-a
Apple je objavio vanredna bezbednosna ažuriranja za iPhone i iPad uređaje kako bi rešio propust u Notification Services sistemu koji je mogao da za... Dalje
Kako su državni špijunski alati za iPhone završili u rukama sajber kriminalaca
Dva nova malvera za špijunažu, DarkSword i Coruna, predstavljaju ozbiljan zaokret u napadima na iOS uređaje, jer omogućavaju infekciju bez ikakve ... Dalje
Apple Pay prevara se širi globalno: jedna poruka dovoljna da ostanete bez novca
Nova prevara cilja korisnike iPhone uređaja širom sveta - prevaranti koriste lažna upozorenja o sumnjivim aktivnostima na Apple Pay nalogu kako bi ... Dalje
Četiri nova Android malvera kradu podatke iz više od 800 aplikacija
Istraživači iz Zimperium zLabs-a otkrili su četiri nove porodice Android malvera koje se trenutno koriste u četiri različite kampanje usmerene na... Dalje
Novi Android malver Mirax pretvara zaražene uređaje u alat za sajber napade
Istraživači iz kompanije Cleafy otkrili su novog Android bankarskog trojanca pod nazivom Mirax, koji se širi Evropom a koji kombinuje daljinski pri... Dalje
Pratite nas
Nagrade
Prijatelji
