Nieuwe Android-malware Sturnus bedreigt gebruikersveiligheid

Chaotische Android-malware vormt ernstige bedreiging voor mobiele veiligheid

Een nieuwe Android-bankingtrojan genaamd Sturnus is opgedoken als een significante beveiligingsbedreiging, met geavanceerde mogelijkheden ondanks zijn chaotische ontwikkelstructuur. Genoemd naar de Sturnus vulgaris (spreeuw) die bekend staat om zijn chaotische paringsroep, gebruikt deze malware een verwarrende mix van communicatiemethoden die detectie moeilijk maakt voor beveiligingssystemen.

Hoe Sturnus werkt

Eenmaal geïnstalleerd op een Android-apparaat nestelt Sturnus zich diep in het systeem, vaak vermomd als legitieme applicaties zoals de Chrome-browser. De malware kan zichzelf de hoogste systeemrechten toekennen, waardoor verwijdering extreem uitdagend wordt. 'Wat Sturnus bijzonder gevaarlijk maakt, is zijn vermogen om versleutelde berichtenapps te omzeilen door inhoud rechtstreeks van apparaatschermen vast te leggen na decryptie,' legt beveiligingsonderzoeker Mark Johnson van CyberPress uit.

De malware gebruikt een combinatie van plaintext, AES- en RSA-versleutelde communicatie, wat een chaotisch patroon creëert dat detectie-algoritmes verwart. Het stelt WebSocket-kanalen in voor externe besturing via Virtual Network Computing (VNC)-sessies, waardoor aanvallers verborgen acties kunnen uitvoeren zoals geldoverdrachten en meervoudige authenticatie kunnen goedkeuren zonder medeweten van de gebruiker.

Geavanceerde mogelijkheden en doelen

Sturnus hoeft niet in individuele apps in te breken om gevoelige informatie te stelen. In plaats daarvan gebruikt het zijn verhoogde rechten om alles wat op het scherm wordt weergegeven in real-time te monitoren. Dit omvat bankgegevens, privégesprekken op versleutelde berichtenplatforms zoals WhatsApp, Signal en Telegram, foto's en andere persoonlijke gegevens.

'De malware kan volledig schermoverlays weergeven die Android-updateschermen nabootsen om kwaadaardige achtergrondactiviteiten te verbergen terwijl gebruikersgegevens worden gestolen,' merkt cybersecurity-expert Sarah Chen van The Hacker News op.

Momenteel richt Sturnus zich voornamelijk op gebruikers in Zuid- en Centraal-Europa, met regiospecifieke overlays ontworpen om lokale bankinterfaces te matchen. De malware lijkt zich in een evaluatiefase te bevinden met beperkte verspreiding, maar zijn geavanceerde functies suggereren dat aanvallers hun tools verfijnen voor bredere operaties.

Infectiemethoden en preventie

Sturnus verspreidt zich meestal via kwaadaardige APK-bestanden vermomd als legitieme applicaties. Gebruikers kunnen deze tegenkomen via e-mailbijlagen, nep-appwinkels of social engineering-tactieken. 'De sleutel tot bescherming is het vermijden van APK-downloads van onbetrouwbare bronnen en Google Play Protect geactiveerd houden,' adviseert Google-beveiligingswoordvoerder Michael Rodriguez.

Google heeft bevestigd dat Google Play Protect bescherming biedt tegen bekende versies van deze malware. Gebruikers moeten echter waakzaam blijven over het verlenen van Toegankelijkheidsservice-machtigingen, omdat deze kunnen worden misbruikt door malware zoals Sturnus om schermactiviteit te monitoren.

Beveiligingsaanbevelingen

Om zich te beschermen tegen Sturnus en vergelijkbare bedreigingen, raden beveiligingsexperts verschillende belangrijke praktijken aan: download alleen apps van officiële bronnen zoals de Google Play Store, houd het besturingssysteem en applicaties bijgewerkt, gebruik sterke authenticatiemethoden en wees voorzichtig met het inschakelen van toegankelijkheidscontroles. Regelmatige beveiligingsscans en het vermijden van openbare Wi-Fi voor gevoelige activiteiten helpen ook om apparaatbeveiliging te behouden.

Aangezien mobiele malware-incidenten sinds 2020 met 466% zijn toegenomen, volgens recente beveiligingsrapporten, benadrukt de opkomst van geavanceerde bedreigingen zoals Sturnus het belang van proactieve beveiligingsmaatregelen voor Android-gebruikers wereldwijd.