Cảnh báo trojan ngân hàng Sturnus mới đánh cắp thông tin trên các nền tảng ứng dụng nhắn tin

Mặc dù vẫn đang trong quá trình phát triển, phần mềm độc hại này có đầy đủ chức năng và đã được cấu hình để nhắm mục tiêu vào các tài khoản tại nhiều tổ chức tài chính ở châu Âu thông qua “mẫu lớp phủ dành riêng cho từng khu vực”.

Sturnus là mối đe dọa tiên tiến hơn so với các nhóm phần mềm độc hại Android hiện tại, sử dụng kết hợp giao tiếp mã hóa bằng văn bản thuần túy, RSA và AES với máy chủ điều khiển và ra lệnh (C2).

Một báo cáo từ công ty tình báo mối đe dọa ThreaFabric, giải thích rằng Sturnus có thể đánh cắp tin nhắn từ các ứng dụng nhắn tin an toàn sau giai đoạn giải mã bằng cách ghi lại nội dung từ màn hình thiết bị.

Phần mềm độc hại này cũng có thể đánh cắp thông tin đăng nhập tài khoản ngân hàng với lớp phủ HTML và bao gồm hỗ trợ điều khiển từ xa toàn diện, thời gian thực thông qua phiên VNC. ThreatFabric cho biết, quá trình lây nhiễm bắt đầu bằng việc tải xuống các tệp APK Android độc hại được ngụy trang dưới dạng ứng dụng Google Chrome hoặc Preemix Box.

Các nhà nghiên cứu vẫn chưa phát hiện ra cách thức phát tán mã độc, thế nhưng họ tin rằng quảng cáo độc hại hoặc tin nhắn trực tiếp có thể là những phương pháp khả thi. Sau khi cài đặt, phần mềm độc hại sẽ kết nối với cơ sở hạ tầng C2 để đăng ký nạn nhân thông qua trao đổi mật mã. Ngoài ra, nó thiết lập một kênh HTTPS được mã hóa cho các lệnh và dữ liệu bị rò rỉ, cùng một kênh WebSocket mã hóa AES cho các hoạt động VNC thời gian thực và giám sát trực tiếp.

Bằng cách lạm dụng dịch vụ trợ năng (Accessibility) trên thiết bị, Sturnus có thể bắt đầu đọc văn bản trên màn hình, ghi lại thông tin đầu vào của nạn nhân, quan sát cấu trúc giao diện người dùng, phát hiện ứng dụng khởi chạy, nhấn nút, di chuyển thanh trượt, chèn văn bản và điều hướng điện thoại.

Để kiểm soát hoàn toàn thiết bị, Sturnus có được quyền quản trị viên thiết bị Android, cho phép theo dõi các lần thay đổi mật khẩu và nỗ lực mở khóa, cũng như khóa thiết bị từ xa. Bên cạnh đó, phần mềm độc hại này cũng cố gắng ngăn chặn người dùng xóa bỏ đặc quyền hoặc gỡ cài đặt phần mềm khỏi thiết bị.

Khi người dùng mở WhatsApp, Telegram hoặc Signal, Sturnus sử dụng quyền của họ để phát hiện nội dung tin nhắn, văn bản đã nhập, tên liên hệ và nội dung cuộc trò chuyện. Các nhà nghiên cứu cho biết trong báo cáo: “Vì dựa vào việc ghi nhật ký của dịch vụ trợ năng thay vì thu thập hoặc chặn dữ liệu trên mạng, nên phần mềm độc hại có thể đọc mọi thứ xuất hiện trên màn hìnhm bao gồm danh bạ, toàn bộ chuỗi hội thoại và nội dung của tin nhắn đến và đi theo thời gian thực. Điều này trở nên đặc biệt nguy hiểm: hoàn toàn bỏ qua mã hóa đầu cuối bằng cách truy cập tin nhắn sau khi chúng được giải mã bởi ứng dụng hợp pháp, giúp kẻ tấn công có thể xem trực tiếp các cuộc trò chuyện được cho là riêng tư”.

Chế độ VNC cho phép kẻ tấn công nhấp vào các nút, nhập văn bản, cuộn thanh trượt, điều hướng hệ điều hành và ứng dụng trên điện thoại, tất cả đều được hỗ trợ bởi dịch vụ trợ năng. Khi đã sẵn sàng, mã độc sẽ kích hoạt lớp phủ màu đen và thực hiện các hành động ẩn khỏi nạn nhân, có thể bao gồm chuyển tiền từ ứng dụng ngân hàng, xác nhận hộp thoại, chấp thuận màn hình xác thực đa yếu tố, thay đổi cài đặt hoặc cài đặt ứng dụng mới.

Báo cáo của ThreatFabric đưa ra ví dụ về lớp phủ cho màn hình Cập nhật hệ thống Android (System Update) giả mạo, được hiển thị để ẩn các hành động độc hại đang chạy trong nền. Các nhà nghiên cứu nhận định, Sturnus vẫn đang trong giai đoạn phát triển ban đầu, được triển khai không thường xuyên, có thể là để thử nghiệm chứ không phải trong các chiến dịch quy mô lớn.

Tuy nhiên, sự kết hợp giữa các tính năng tiên tiến thường thấy ở phần mềm độc hại Android hàng đầu và kiến ​​trúc “sẵn sàng mở rộng” khiến đây trở thành mối đe dọa nguy hiểm cần phải đề phòng. ThreatFabric phát hiện các cuộc tấn công Sturnus với khối lượng thấp, chủ yếu nhắm vào người dùng ở Nam và Trung Âu, điều này có thể chỉ ra rằng tác nhân đe dọa đang chạy thử nghiệm cho các chiến dịch lớn hơn

Người dùng Android được khuyến nghị nên tránh tải xuống tệp APK từ bên ngoài Google Play, luôn bật Play Protect và tránh cấp quyền trợ năng trừ khi thực sự cần thiết.