נוזקה חדשה עוקפת הצפנה ומשתלטת על מכשירי אנדרואיד
Experis Cyber פרסמה דוח עדכונים והזהירה מפני נוזקת אנדרואיד חדשה ומסוכנת במיוחד בשם Sturnus שמצליחה לעקוף את הצפנת הקצה-אל-קצה של אפליקציות מסרים פופולריות כמו WhatsApp, Telegram או Signal ולקרוא את תוכן ההודעות המוצג על המסך לאחר הפענוח.
לפי הדו"ח, Sturnus נבנתה במקור כטרויאן בנקאות מתוחכם, הכולל יכולות לגניבת פרטי גישה דרך מסכי התחזות ייעודיים לבנקים ומוסדות פיננסיים שונים ברחבי אירופה. עם הזמן הורחב יכולות הנוזקה, וכיום מדובר באיום מתקדם בהרבה מרוב הנוזקות המוכרות למכשירי אנדרואיד, הכולל שיטות תקשורת מוצפנות מול שרת שליטה ויכולות שליטה מלאה בזמן אמת על המכשיר.
הנוזקה מתחזה לאפליקציות נפוצות כמו Google Chrome או Preemix Box ומצליחה להערים על משתמשים תמימים שיתקינו אותה מבלי לחשוד. מיד לאחר ההתקנה נוצר חיבור מוצפן לשרת השליטה, נרשם הקורבן ונפתחים ערוצי תקשורת מאובטחים המאפשרים שליטה מרחוק, גניבת מידע ופעולות אוטומטיות ללא ידיעת המשתמש.
Sturnusמנצלת הרשאות נגישות והופכת ל-Device Administrator כדי לצפות בתוכן שמופיע על המסך, לזהות אילו אפליקציות פתוחות, לקרוא טקסטים, להזרים פעולות כמו הקלדה וגלילה ואף למנוע מהמשתמש להסיר אותה גם דרך ADB. בעת פתיחת WhatsApp, Telegram או Signal הנוזקה קוראת כל הודעה נכנסת ונשלחת כולל שמות אנשי קשר והתוכן המלא של השיחה, תוך עקיפה מוחלטת של הצפנת הקצה-אל-קצה.
נכון לעכשיו נראה כי Sturnus נמצאת בשלבי בדיקה ומופצת בהיקף נמוך בעיקר בדרום ומרכז אירופה, אך בהתאם למאפייניה המתקדמים קיים פוטנציאל ממשי להתרחבות גלובלית. לפי הדו"ח מומלץ להדריך עובדים להוריד אפליקציות רק מ- Google Playלהימנע לחלוטין מהתקנת קבצי APK ממקור חיצוני, לא לתת הרשאות נגישות לאפליקציות שלא באמת חייבות אותן ולבדוק מעת לעת אילו אפליקציות מחזיקות בהרשאות אלו.
רומן מלכוב, מנהל ה-SOC ב-Experis Cyber: "האיום שמציגה Sturnus לא דומה לנוזקות רגילות לאנדרואיד. היא מאחדת יכולות בנקאיות קלאסיות עם שליטה מרחוק ברמת מערכת והתחזות מתוחכמת לשירותים אמיתיים. העובדה שהיא קוראת הודעות מתוך אפליקציות מוצפנות מייצרת זעזוע יסודי בנקודת ההנחה שהצפנה מגנה על התוכן. המשמעות היא שכל ארגון חייב להתייחס ברצינות מחודשת לסיכון שנובע מהתקנות צד שלישי והרשאות נגישות".
עוד הוסיף מלכוב כי "הנוזקה הזו ממחישה כיצד מתקפות סייבר זולגות ממרחב ההונאה הפשוטה אל שליטה מערכתית מלאה. ברגע שתוקף מחזיק שליטה כזו, הוא יכול לגנוב כספים, לשאוב מידע ארגוני, לאסוף מפתחות גישה או להתקדם תשתיתית לתוך מערכות נוספות. זהו דגל אדום לכל ארגון המתבסס על מכשירי אנדרואיד בשטח".
