Sturnus: Yeni Android Tehditi
Android cihazlar, son yıllarda kullanıcıların gizlilik ve güvenliği açısından birçok tehdit ile karşı karşıya kalmıştır. Bu yazıda, yeni bir bankacılık trojanı olan Sturnus’un özelliklerini ve kullanıcılar için oluşturduğu riskleri inceleyeceğiz. Sturnus, Signal, WhatsApp ve Telegram gibi uçtan uca şifreli mesajlaşma uygulamalarından iletişimleri çalabilen bir Android malware’dir.
Gelişmiş Özellikler ve Hedefler
Sturnus, hala geliştirilme aşamasında olmasına rağmen tamamen işlevseldir ve Avrupa’daki çeşitli finansal kuruluşların hesaplarını hedef almak için “bölgeye özel kaplama şablonları” kullanmaktadır. Current Android malware ailelerinden daha gelişmiş bir tehdit olan Sturnus, açık metin, RSA ve AES şifreli iletişim karışımını kullanarak komut ve kontrol (C2) sunucusuna bağlanır.
Tehdit Fabric tarafından gerçekleştirilen bir raporda, Sturnus’un kurban cihazları üzerindeki tam kontrolü alarak, ekran içeriğini yakalayarak şifre çözme aşamasından sonra mesajları çalabildiği belirtilmiştir. Malware, HTML kaplamaları kullanarak banka hesap bilgilerini de çalabilme yeteneğine sahiptir.
Yüksek Güvenlik Açıkları
Sturnus, kullanıcıların cihazları üzerindeki erişilebilirlik hizmetlerini kötüye kullanarak ekrandaki metinleri okumakta, kurbanların girdilerini yakalamakta ve uygulama yapılarını gözlemleyebilmektedir. Malware, Android Cihaz Yöneticisi ayrıcalıklarını elde ederek, şifre değişikliklerini takip etme ve cihazı uzaktan kilitleme yeteneklerine sahiptir. Kullanıcıların bu ayrıcalıkları kaldırmasını veya malware’i cihazdan kaldırmasını engellemeye çalışmaktadır.
Bu durum, Sturnus’un temizlenme girişimlerine karşı güçlü bir koruma sağlarken, kullanıcıların malware’i kaldırma çabalarını zorlaştırmaktadır. Tehdit Fabric’in raporuna göre, malware’in kullanıcıları WhatsApp, Telegram veya Signal uygulamalarını açtığında mesaj içeriğini, yazılan metni, irtibat adlarını ve konuşma içeriklerini tespit ettiğini söylemektedir.
Gerçek Zamanlı İzleme ve Kontrol
Sturnus, Accessibility Service kayıtlarını kullanarak ekranında görünen her şeyi gerçek zamanlı olarak okuyabilmektedir. Bu, end-to-end şifrelemenin bypass edilmesine ve saldırganların özel konuşmalara doğrudan erişim sağlamasına olanak tanır. VNC modu sayesinde, saldırganlar düğmelere tıklayabilir, metin girebilir ve telefon işletim sistemi ve uygulamalarında gezinebilir.
Araştırmacılar, Sturnus’un kötü niyetli işlemlerini gizlemek için sahte Android Sistem Güncellemesi ekranı gibi kaplamalar kullandığını ve bu sayede zararlı eylemleri arka planda gerçekleştirdiğini belirtmektedir.
Kapsam ve Güvenlik Önlemleri
Sturnus, şu an için sınırlı kampanyalarla test edilmekte ve çoğunlukla Güney ve Orta Avrupa’daki kullanıcıları hedef almaktadır. Ancak, gelişmiş özellikleri ve ölçeklenebilir mimarisi ile bu malware kullanıcılar için ciddi bir tehdit oluşturmaktadır.
Android kullanıcılarına, Google Play dışındaki APK dosyalarını indirmekten kaçınmaları, Play Protect’i aktif tutmaları ve Accessibility izinlerini yalnızca gerçekten gerekli olanları vermeleri şiddetle tavsiye edilmektedir. Sturnus, gelişimini sürdürdükçe, daha geniş ve sofistike saldırılar gerçekleştirmesi mümkün olabilir.
Eğer bu tür bir tehdit ile karşı karşıya kalırsanız, cihazınızın güvenliğini en üst seviyeye çıkarmak için gerekli tüm önlemleri alın.
