Avrupa’nın birçok ülkesinden gelen güvenlik raporları Android cihazları hedef alan Sturnus adlı yeni bir zararlı yazılımın keşfedildiğini gösteriyor. Siber güvenlik uzmanları bu yazılımın yalnızca bankacılık bilgilerini çalmakla sınırlı kalmadığını, şifreli mesajlaşmaları bile ekran açıldığı anda görüntüleyebildiğini doğruluyor. WhatsApp, Telegram ve Signal gibi uçtan uca şifreleme kullanan uygulamalar kullanıcı ekranı çözüldüğü anda Sturnus tarafından kopyalanabiliyor.
Sturnus, cihazın tam kontrolünü ele geçiriyor
Sturnus’un bir Android bankacılık truva atı olarak sınıflandırılmasına rağmen yetenekleri bu sınıfın çok ötesine geçiyor. Yazılım, arka planda karma bir iletişim tekniği kullanarak bulaştığı cihazı uzaktaki sunuculara kaydediyor. Böylece saldırganlar VNC üzerinden telefona tam erişim sağlayabiliyor.
Bu erişim tuş vuruşlarının kaydedilmesi, ekran bileşenlerinin yeniden oluşturulması ve kullanıcı izinlerinin manipüle edilmesi gibi kritik işlemleri mümkün hale getiriyor. Erişilebilirlik hizmetlerinin kötüye kullanılması, saldırganların telefonun tüm yönetim alanlarında kesintisiz bir hareket kabiliyeti kazanmasına neden oluyor.
Sturnus’un en dikkat çekici özelliklerinden biri de sahte ekranlar oluşturma yeteneği. Yazılım, tam ekran bir sistem güncellemesi görüntüsü oluşturarak kullanıcının dikkatini bu sahte panele yönlendiriyor. Bu sırada zararlı işlemler arka planda sessizce yürütülüyor. Bu yöntem hem bankacılık bilgilerini hem de kişisel verileri ele geçirmede etkili bir maskeleme yöntemi.
Virüs, cihaz ayarlarında kendisine yönelik kaldırma girişimlerini de tespit ediyor. Kullanıcı kaldırma ekranına ulaşmaya çalıştığında Sturnus bu menüyü otomatik olarak kapatıyor veya kullanıcıyı buradan uzaklaştırıyor.
Yönetici izinleri kaldırılmadıkça yazılımın kapatılması veya silinmesi mümkün olmuyor. Bunun yanında cihazdaki sensör verileri, ağ durumu, yüklü uygulamalar ve diğer çevresel bilgiler toplanarak saldırganlara düzenli olarak gönderiliyor. Böylece cihazın anlık durumu ve kullanıcı davranışları sürekli takip edilebiliyor.
Şu ana kadar Avrupa’nın çeşitli ülkelerinde Sturnus bulaşmış cihazların tespit edildiğine dair raporlar paylaşılmış durumda. Uzmanlar yazılımın arkasında daha geniş ve organize bir operasyon olduğuna işaret ediyor. Sturnus’un kısa sürede yayılması ve gelişmiş teknik yetenekleri, tehdidin hızla büyüdüğünü gösteriyor.
