安卓新病毒Sturnus來襲！偽裝成Chrome讀取屏幕內(nèi)容、密碼

發(fā)布時(shí)間：2025-11-28 14:38:33 來源：企業(yè)錄(www.qy6.com)-公司信息發(fā)布,網(wǎng)上買賣交易門戶 作者：焦點(diǎn)

11月26日消息，安卓據(jù)媒體報(bào)道，新病襲偽安全研究人員近期發(fā)現(xiàn)一款名為“Sturnus”的毒S讀新型安卓銀行木馬，能夠繞過端到端加密保護(hù)，裝成竊取Signal、屏幕WhatsApp和Telegram等通訊應(yīng)用中的內(nèi)容內(nèi)容。

該木馬主要通過惡意APK文件傳播，密碼一旦安裝，安卓便會(huì)偽裝成谷歌Chrome等系統(tǒng)應(yīng)用，新病襲偽并濫用安卓系統(tǒng)的毒S讀無障礙服務(wù)與“在其他應(yīng)用上層顯示”權(quán)限，從而實(shí)現(xiàn)對(duì)受感染設(shè)備的裝成近乎完全控制。

在獲取權(quán)限后，屏幕Sturnus能夠在用戶無感知的內(nèi)容情況下執(zhí)行多項(xiàng)惡意操作，包括監(jiān)視屏幕內(nèi)容、密碼錄制屏幕、安卓記錄點(diǎn)擊與輸入行為，甚至自行操控界面和輸入文本。這種基于屏幕讀取的方式使其能夠直接獲取解密后的通訊內(nèi)容，從而繞過了端到端加密機(jī)制。

技術(shù)分析進(jìn)一步顯示，Sturnus與指揮服務(wù)器之間的通信部分采用明文傳輸，部分使用RSA與AES加密。木馬還會(huì)通過加密通道注冊(cè)至服務(wù)器，并建立WebSocket連接以支持VNC遠(yuǎn)程實(shí)時(shí)控制。攻擊者可借此模擬用戶操作，如進(jìn)行轉(zhuǎn)賬、修改設(shè)置等，同時(shí)在界面顯示偽造的系統(tǒng)更新畫面以掩蓋惡意行為。

針對(duì)這一威脅，安全機(jī)構(gòu)ThreatFabric建議用戶避免安裝來源不明的APK文件，保持Google Play Protect處于開啟狀態(tài)，并謹(jǐn)慎授予無障礙功能權(quán)限。

谷歌公司亦對(duì)此回應(yīng)稱，經(jīng)檢測(cè)，Google Play商店中未發(fā)現(xiàn)任何含有該惡意軟件的應(yīng)用，并強(qiáng)調(diào)Play Protect功能可在默認(rèn)狀態(tài)下為用戶提供防護(hù)。

相關(guān)文章