A végpontok között titkosított üzenetküldőkkel folytatott beszélgetések megfigyelésére is képes a Sturnus nevű új androidos trójai program – írja a Bleeping Computer. A WhatsApp- és Signal-üzenetekre veszélyes program ráadásul akár az egész telefon felett is átveheti az irányítást.
További rossz hír, hogy a kártevő még aktív fejlesztés alatt áll. A kész funkciói azonban már teljeskörűen működnek, és úgy konfigurálták, hogy régióspecifikusan lehessen alkalmazni európai pénzügyi szervezetek nevével elkövetett csalásokhoz. Ez konyhanyelven annyit jelet, hogy akár egy hazánkban működő bank nevét és arculati elemeit is ellophatja, hogy egy csalárd bejelentkezési képernyőt jelenítsen meg. Ha egy ilyen hamis felületen beírja az adatait, azok azonnal a támadóknál landolnak.
A Sturnus a ThreaFabric nevű biztonsági cég elemzése szerint fejlettebb, mint a jelenlegi androidos kártevőcsaládok: a parancs- és vezérlőszervere, mellyel kapcsolatot létesít a támadó és a fertőzött eszköz között, többféle titkosítást (RSA, AES) is alkalmaz.
A titkosított üzenetküldő programokból úgy tudja ellopni a beszélgetéseket, hogy rögzíti a készülék képernyőjén megjelenő tartalmakat.
A támadás egy Google Chrome-nak vagy más alkalmazásnak álcázott rosszindulatú APK telepítőfájl installálásával indul. A kutatók még nem jöttek rá, hogy a kártevő miként terjed, de úgy vélik, hogy rosszindulatú hirdetések vagy közvetlen üzenetek útján terjeszthetik őket.
Installálás után a kártevő csatlakozik a támadó szerveréhez, hogy regisztrálja az áldozatot. Az adatok ellopása a kisegítő lehetőségekkel történő visszaéléssel történik, melyeket aztán egy titkosított csatornán juttat el a rosszindulatú feleknek.
Az ellopott adatok köre igen aggasztó: gyakorlatilag mindent megszerezhet a kártevő, amit lát vagy bepötyög. Sőt, akár görgetheti is a mobilt, vagy beírhat tetszőleges dolgokat. Végső soron akár teljesen át is vehetik az irányítást a mobilja felett.
Az már csak a hab a tortán, hogy a törlési kísérletek ellen is többféle védelemmel rendelkezik a program.
A ThreaFabric elemzése szerint egyelőre még csak dél- és közép-európai felhasználóknál tesztelgetik a kártevő képességeit, nagyobb kampányokhoz még nem használják. A megelőzés egyszerű: soha ne töltsön le alkalmazásokat ismeretlen forrásból, csakis a Play Áruházból. Ott is érdemes a megbízható fejlesztők programjaira támaszkodni.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
