安卓新病毒Sturnus曝光：伪装成Chrome窃取银行密码

IT之家 11 月 26 日消息，科技媒体 Android Authority 昨日（11 月 25 日）发布博文，报道称新型安卓银行木马病毒“Sturnus”肆虐网络，通过恶意 APK 文件分发传播，利用安卓系统的“无障碍服务”权限，可在用户不知情的情况下窃取设备控制权。

安全研究机构 MTI Security 披露称该恶意软件主要通过恶意 APK 文件传播，一旦安装，便会伪装成谷歌 Chrome 浏览器等预装应用，并滥用“在其他应用上层显示”等安卓系统无障碍服务。

借助这些权限，Sturnus 可以在用户毫无察觉的情况下，监视屏幕上显示的文本、录制屏幕、记录用户的屏幕点击和按键操作，甚至可以自行输入文本和操控手机界面，从而实现对设备的隐秘控制。

IT之家援引博文介绍，Sturnus 的核心威胁在于其金融数据窃取能力。它能够精准识别并复刻银行应用的界面，通过生成高度逼真的 HTML 覆盖层来诱骗用户输入登录凭据，进而实施网络钓鱼攻击。

同时，该木马还能绕过 WhatsApp、Telegram 等主流聊天软件的端到端加密，通过直接捕获屏幕内容的方式，窥探用户的私密对话。

更危险的是，Sturnus 还能获取设备管理员权限，不仅能监视锁屏密码的输入尝试，还能锁定设备，甚至阻止用户通过 ADB（安卓调试桥）等技术手段将其卸载。

网络欺诈防范机构 ThreatFabric 的分析指出，Sturnus 的命名源自一种椋鸟（Sturnus vulgaris），其求偶叫声混乱无序，这恰好与其“混乱”的通信协议特征相符。

该木马混合使用了明文、RSA 和 AES 加密等多种通信方式，且切换毫无规律，让其行为更难被追踪。

尽管研究人员认为 Sturnus 仍处于早期开发阶段，但它功能已经齐全，在通信协议和设备支持方面甚至比一些成熟的木马家族更为先进，并且已经在南欧和中欧的部分地区被实际部署。

针对 Sturnus 病毒的威胁，谷歌公司向媒体回应称，经过检测，Google Play 商店中并未发现任何包含此恶意软件的应用。谷歌强调，安卓设备上的 Google Play Protect 功能默认开启，可以自动保护用户免受此类已知恶意软件的侵害。