Trojan Android Sturnus mới âm thầm ghi lại nội dung chat mã hóa và chiếm quyền điều khiển thiết bị

Một dòng mã độc ngân hàng mới trên Android cho phép kẻ tấn công vượt qua lớp mã hóa ứng dụng nhắn tin, đánh cắp thông tin đăng nhập và kiểm soát toàn bộ thiết bị người dùng.

Các nhà nghiên cứu an ninh mạng vừa phát hiện Sturnus, một trojan ngân hàng Android thế hệ mới được thiết kế để đánh cắp thông tin đăng nhập và chiếm quyền điều khiển thiết bị nhằm thực hiện gian lận tài chính. Điểm nổi bật nhất của mã độc này là khả năng bỏ qua mã hóa đầu cuối của các ứng dụng như WhatsApp, Telegram và Signal. Thay vì tìm cách giải mã dữ liệu, Sturnus trực tiếp ghi lại nội dung hiển thị trên màn hình sau khi thiết bị đã tự giải mã, giúp kẻ tấn công thu thập trọn vẹn các đoạn hội thoại riêng tư.

Sturnus có khả năng thực hiện tấn công lớp phủ (overlay attack) bằng cách hiển thị trang đăng nhập giả mạo chồng lên ứng dụng ngân hàng hợp lệ. Khi người dùng nhập thông tin tài khoản, mọi dữ liệu sẽ bị thu thập và gửi về máy chủ điều khiển. Mã độc này đang được đánh giá là đang trong giai đoạn thử nghiệm, phân phối thông qua các ứng dụng mạo danh như Google Chrome hoặc Preemix Box.

Trojan liên tục giao tiếp với máy chủ từ xa qua WebSocket và HTTP để nhận các payload mã hóa. Nó còn thiết lập kênh điều khiển theo thời gian thực qua VNC, cho phép kẻ tấn công tương tác trực tiếp với thiết bị bị xâm nhập. Sturnus khai thác dịch vụ truy cập (Accessibility Service) để ghi nhận thao tác bàn phím, theo dõi giao diện người dùng và thu thập mọi yếu tố xuất hiện trên màn hình. Điều này giúp hacker tái dựng toàn bộ giao diện trên hệ thống của họ, từ đó thực hiện hành động từ xa như nhấp chuột, nhập văn bản, cuộn trang, mở ứng dụng hay cấp quyền.

Mã độc còn có thể hiển thị màn hình giả lập cập nhật hệ thống để che mắt người dùng và tạo điều kiện cho hành vi độc hại diễn ra phía sau. Một cơ chế điều khiển khác sử dụng hệ thống display-capture để phản chiếu màn hình theo thời gian thực, khiến nạn nhân hoàn toàn mất kiểm soát.

Sturnus được trang bị cơ chế tự bảo vệ mạnh mẽ: nó giám sát mọi động thái nghi ngờ, đặc biệt khi người dùng mở menu muốn gỡ quyền quản trị. Ngay khi nhận thấy dấu hiệu vô hiệu hóa, malware lập tức chuyển trang để chặn hành động này. Việc gỡ cài đặt thông thường hoặc bằng ADB gần như không khả thi nếu chưa thu hồi quyền quản trị.

Ngoài ra, Sturnus còn thu thập dữ liệu môi trường thiết bị như cảm biến, mạng, phần cứng và danh sách ứng dụng để điều chỉnh chiến thuật, giúp né tránh phát hiện. Dù mức độ lây nhiễm hiện tại còn thấp, nhưng các chuyên gia cảnh báo rằng mã độc đang được tinh chỉnh để hướng tới các chiến dịch tấn công lớn hơn nhắm vào các tổ chức tài chính tại châu Âu.

Người dùng Android được khuyến cáo:

• Tránh cài đặt ứng dụng ngoài cửa hàng chính thức

• Kiểm soát chặt quyền Accessibility

• Theo dõi dấu hiệu bất thường như màn hình che phủ, ứng dụng tự bật hoặc bị chặn quyền gỡ cài đặt

• Luôn bật chế độ bảo vệ mặc định trên thiết bị

Sự xuất hiện của Sturnus một lần nữa nhấn mạnh tính cấp thiết của việc bảo vệ bảo mật, an ninh mạng và quyền riêng tư người dùng trước các dòng trojan tinh vi đang gia tăng nhanh chóng trên hệ sinh thái Android.

Hương - Theo TheHackerNews