Android korisnici u Evropi upozoreni su na novi tip virusa koji krade poruke sa aplikacija kao što su Signal, WhatsApp i Telegram, istovremeno preuzimajući punu kontrolu nad telefonom.
Stručnjaci tvrde da je ovaj malver još u razvoju, ali već sada predstavlja ozbiljnu prijetnju.
Malver pod nazivom Sturnus dolazi prerušen u lažne Android aplikacije koje izgledaju kao Google Chrome ili sistemske aplikacije, a zatim preuzima privilegije na telefonu i prati sve što se pojavljuje na ekranu. To znači da može da čita sadržaj poruka nakon što su već dešifrovane, pa korisnik ni po čemu ne može da primijeti da je kompromitovan.
Sturnus ne presreće podatke preko mreže, već direktno čita ekran i tekst koji korisnik kuca u realnom vremenu. Zbog toga može da prati razgovore, kontakte, imena sagovornika, bankarske aplikacije i potvrde u aplikacijama za autentifikaciju. Iako se još testira, prve infekcije zabilježene su kod korisnika u južnoj i centralnoj Evropi.
Sturnus koristi sistemska dozvoljenja koja mu omogućavaju da prati pokrete po ekranu, pritisnute tastere, otvaranje aplikacija, pa čak i da sam izvršava radnje umjesto korisnika. Sturnus malver, Android prijetnja, krađa poruka, Signal sigurnost i WhatsApp hakovanje ključni su pojmovi koje stručnjaci trenutno prate.
Jedan od najopasnijih dijelova napada je to što virus može da preuzme potpunu kontrolu nad telefonom i obavlja radnje dok na ekranu prikazuje lažni prozor, na primjer lažnu “sistemsku nadogradnju”. Korisnik u tom trenutku ne vidi šta se dešava, pa malver može da potvrdi transakcije, odobri dvostruku autentifikaciju ili instalira druge aplikacije.
Stručnjaci navode da malver ima mehanizme koji otežavaju njegovo uklanjanje i da korisnik prvo mora ručno da mu ukine administratorske privilegije, tek onda može da ga obriše.
Kako da se zaštitite i izbjegnete infekciju
Istraživači upozoravaju da se infekcija najvjerovatnije širi preko lažnih linkova, poruka i oglasa koji nude aplikacije van Google Play prodavnice. Najčešći mamci su lažni pretraživači, sistemske aplikacije, “bezbjednosne nadogradnje” i verzije aplikacija dostupne samo kao APK fajlovi.
Stručnjaci preporučuju da korisnici izbegavaju instaliranje APK fajlova sa interneta, da ostave aktiviranu zaštitu Google Play Protect, da provjere dozvole koje aplikacije traže i da nikad ne daju pristup servisima za pristupačnost ako to nije apsolutno neophodno.
Napadi su za sada ograničeni, ali sposobnost virusa da zaobiđe enkripciju i čita poruke nakon otključavanja aplikacije znači da bi u većim kampanjama mogao da pogodi veliki broj korisnika.
