Yangi Sturnus Android troyani shifrlangan yozishmalarni pinhona ravishda qo‘lga kiritib, qurilmalarni to‘liq nazoratiga olmoqda
2
21
0
Kiberxavfsizlik tadqiqotchilari Sturnus deb nomlangan yangi Android bank troyani haqida ma’lumotlarni oshkor qildi. Bu zararli dastur foydalanuvchi ma’lumotlarini o‘g‘irlash va moliyaviy firibgarlikni amalga oshirish uchun qurilmani to‘liq egallab olish imkonini beradi.
“Uni boshqalardan ajratib turadigan asosiy jihat — shifrlangan xabarlarni chetlab o‘tish qobiliyatidir,” — deya ta’kidladi ThreatFabric “The Hacker News” bilan bo‘lishgan hisobotida. “Sturnus xabarlar qurilmada shifrdan chiqarilganidan so‘ng ularni bevosita ekran tasviri orqali ushlab, WhatsApp, Telegram va Signal orqali olib borilgan yozishmalarni kuzata oladi.”
Troyanning yana bir e’tiborga molik funksiyasi — bank ilovalari ustiga soxta kirish oynalarini chiqarib, qurbonlarning kirish ma’lumotlarini qo‘lga kiritish uchun overlay hujumlarini amalga oshirishidir. Niderlandiyalik mobil xavfsizlik kompaniyasi ma’lumotiga ko‘ra, Sturnus hozircha shaxsiy tarzda boshqariladi va baholash bosqichida ekanligi taxmin qilinmoqda.
Bank troyanini tarqatayotgan zararli paketlar quyidagilar sifatida aniqlangan:
Google Chrome (“com.klivkfbky.izaybebnx”)
Preemix Box (“com.uvxuthoq.noscjahae”)
Zararli dastur Janubiy va Markaziy Yevropadagi moliyaviy institutlarni mintaqaga xos overlay'lar bilan ajratib ko'rsatish uchun maxsus ishlab chiqilgan.
Sturnus nomi uning oddiy matn, AES va RSA ni aralashtirib aralash aloqa naqshidan foydalanishiga ishora qiladi, ThreatFabric uni turli xil hushtaklarni o'z ichiga olgan va ovozli taqlid sifatida tanilgan Yevropa yulduzchasi qushiga (binom nomi: Sturnus vulgaris) o'xshatadi.
Ishga tushirilgandan so'ng, troyan qurilmani ro'yxatdan o'tkazish va evaziga shifrlangan yuklamalarni olish uchun WebSocket va HTTP kanallari orqali masofaviy server bilan bog'lanadi. Shuningdek, u muhaddidlarga Virtual Network Computing (VNC) sessiyalari paytida buzilgan Android qurilmasi bilan o'zaro aloqada bo'lishga imkon berish uchun WebSocket kanalini yaratadi.
Bank ilovalari uchun soxta overlaylarni taqdim etishdan tashqari, Sturnus shuningdek, klaviatura bosishlarini va foydalanuvchi interfeysi (UI) o'zaro ta'sirlarini yozib olish uchun Androidning kirish xizmatlarini suiiste'mol qilishga qodir. Jabrlanuvchiga bank uchun overlay taqdim etilishi va hisob ma'lumotlari yig'ib olinishi bilan, foydalanuvchining shubhasini uyg'otmaslik uchun ushbu aniq nishon uchun overlay o'chiriladi.
Bundan tashqari, u barcha vizual teskari aloqani bloklaydigan va Android operatsion tizimining yangilanish ekraniga taqlid qiladigan to'liq ekranli overlayni ko'rsatishi mumkin, bu foydalanuvchiga dasturiy ta'minot yangilanishlari amalga oshirilayotgani haqida taassurot qoldiradi, aslida esa u fonda zararli harakatlarni amalga oshirishga imkon beradi.
Zararli dasturning boshqa ba'zi xususiyatlari qurilma faoliyatini kuzatishni qo'llab-quvvatlashni, shuningdek, jabrlanuvchi tomonidan ochilganda Signal, Telegram va WhatsAppdan chat kontentini to'plash va ekrandagi har bir ko'rinadigan interfeys elementi haqida ma'lumot yuborish uchun kirish xizmatlaridan foydalanishni o'z ichiga oladi.
Bu tajovuzkorlarga o'z tomonidagi maketni qayta qurish va bosishlar, matn kiritish, aylantirish, ilovalarni ishga tushirish, ruxsatnomalarni tasdiqlash bilan bog'liq harakatlarni masofadan turib amalga oshirish va hatto qora ekran qoplamasini yoqish imkonini beradi. Sturnusga o'rnatilgan muqobil masofadan boshqarish mexanizmi qurilma ekranini real vaqt rejimida aks ettirish uchun tizimning displeyni suratga olish tizimidan foydalanadi.
"Foydalanuvchi ma'mur holatini o'chirib qo'yishi mumkin bo'lgan sozlamalar ekranlariga o'tganda, zararli dastur kirishni monitoring qilish orqali urinishni aniqlaydi, tegishli boshqaruv elementlarini aniqlaydi va foydalanuvchini to'xtatish uchun avtomatik ravishda sahifadan uzoqlashtiradi", dedi ThreatFabric.
"Ma'mur huquqlari qo'lda bekor qilinmaguncha, oddiy o'chirish va ADB kabi vositalar orqali olib tashlash bloklanadi, bu esa zararli dasturni tozalash urinishlaridan kuchli himoya qiladi."
Keng qamrovli muhit monitoringi imkoniyatlari sensor ma'lumotlarini, tarmoq holatini, apparat ma'lumotlarini va o'rnatilgan ilovalar inventarizatsiyasini to'plash imkonini beradi. Ushbu qurilma profili uzluksiz teskari aloqa aylanmasi bo'lib xizmat qiladi va hujumchilarga o'z taktikalarini aniqlashni chetlab o'tishga moslashtirishga yordam beradi.
"Garchi tarqalish hozirgi bosqichda cheklangan bo'lsa-da, maqsadli geografiya va yuqori qiymatli dasturga e'tibor qaratishning uyg'unligi hujumchilar kengroq yoki ko'proq muvofiqlashtirilgan amaliyotlar oldidan o'z vositalarini takomillashtirayotganini anglatadi", dedi ThreatFabric.
