Sturnus, נוזקת אנדרואיד חדשה ומסוכנת במיוחד, מצליחה לעקוף את הצפנת הקצה-אל-קצה של אפליקציות מסרים פופולריות כמו וואטסאפ, טלגרם וסיגנל ולקרוא את תוכן ההודעות המוצג על המסך לאחר הפענוח.
לפי דיווחים, Sturnus נבנתה במקור כסוס טרויאני מתוחכם בתחום הבנקאות, עם יכולות לגניבת פרטי גישה דרך מסכי התחזות ייעודיים למוסדות פיננסיים שונים ברחבי אירופה. עם הזמן, הורחבו יכולות הנוזקה וכיום מדובר באיום מתקדם בהרבה מרוב הנוזקות המוכרות למכשירי אנדרואיד, הכולל שיטות תקשורת מוצפנות מול שרת שליטה ויכולות שליטה מלאה בזמן אמת על המכשיר.
רומן מלכוב, מנהל ה-SOC (מרכז פעולות אבטחה) בחברת הסייבר הישראלית Experis Cyber, מסביר: "האיום שמציגה Sturnus לא דומה לנוזקות רגילות לאנדרואיד. היא מאחדת יכולות בנקאיות קלאסיות עם שליטה מרחוק ברמת מערכת והתחזות מתוחכמת לשירותים אמיתיים. העובדה שהיא קוראת הודעות מתוך אפליקציות מוצפנות מייצרת זעזוע יסודי בנקודת ההנחה שהצפנה מגנה על התוכן. המשמעות היא שכל ארגון חייב להתייחס ברצינות מחודשת לסיכון שנובע מהתקנות צד שלישי והרשאות נגישות".
איך זה עובד?
הנוזקה מתחזה לאפליקציות נפוצות כמו Google Chrome או Preemix Box ומצליחה להערים על משתמשים תמימים שיתקינו אותה מבלי לחשוד. מיד לאחר ההתקנה נוצר חיבור מוצפן לשרת השליטה, נרשם הקורבן ונפתחים ערוצי תקשורת מאובטחים המאפשרים שליטה מרחוק, גניבת מידע ופעולות אוטומטיות ללא ידיעת המשתמש.
Sturnus מנצלת הרשאות נגישות והופכת ל-Device Administrator כדי לצפות בתוכן שמופיע על המסך, לזהות אילו אפליקציות פתוחות, לקרוא טקסטים, להזרים פעולות כמו הקלדה וגלילה ואף למנוע מהמשתמש להסיר אותה גם דרך ADB. בעת פתיחת אפליקציית מסרים, הנוזקה קוראת כל הודעה נכנסת ונשלחת כולל שמות אנשי קשר והתוכן המלא של השיחה, תוך עקיפה מוחלטת של הצפנת הקצה-אל-קצה.
נכון לעכשיו, נראה כי Sturnus נמצאת בשלבי בדיקה ומופצת בהיקף נמוך בעיקר בדרום אירופה ובמרכז היבשת, אך בהתאם למאפייניה המתקדמים קיים פוטנציאל ממשי להתרחבות גלובלית.
המומחים של Experis Cyber ממליצים לארגונים להדריך עובדים להוריד למכשירי אנדרואיד אפליקציות רק מ-Google Play להימנע לחלוטין מהתקנת קבצי APK ממקור חיצוני, לא לתת הרשאות נגישות לאפליקציות שלא באמת חייבות אותן ולבדוק מעת לעת אילו אפליקציות מחזיקות בהרשאות אלו.
"הנוזקה הזאת ממחישה כיצד מתקפות סייבר זולגות ממרחב ההונאה הפשוטה אל שליטה מערכתית מלאה", מסביר מלכוב. "ברגע שתוקף מחזיק שליטה כזו, הוא יכול לגנוב כספים, לשאוב מידע ארגוני, לאסוף מפתחות גישה או להתקדם תשתיתית לתוך מערכות נוספות. זהו דגל אדום לכל ארגון המתבסס על מכשירי אנדרואיד בשטח".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו