Android-malware kan WhatsApp- en Signal-berichten op telefoon lezen
Onderzoekers hebben nieuwe malware ontdekt die WhatsApp-, Signal- en Telegram-berichten op besmette telefoons kan lezen. De Sturnus-malware is in de kern een banking trojan, malware speciaal ontwikkeld voor het plegen van bankfraude, zo laat securitybedrijf ThreatFabric in een analyse weten. De malware is echter ook in staat om communicatie via WhatsApp, Telegram en Signal te monitoren.
Volgens de onderzoekers bevindt Sturnus zich nog in een ontwikkel- of testfase en is daarbij ingezet tegen doelen in Centraal en Zuid-Europa. Net als andere bankmalware kan Sturnus boven bank-apps een fake inlogvenster tonen. Wanneer gebruikers hun gegevens in dit scherm invullen worden die naar de aanvallers gestuurd. Daarnaast kunnen aanvallers via de malware een besmette telefoon op afstand overnemen en bijvoorbeeld een zwart scherm tonen dat alle visuele feedback blokkeert, terwijl er in de achtergrond malafide transacties worden uitgevoerd. Het scherm dat de gebruiker te zien krijgt kan bijvoorbeeld melden dat er een update wordt uitgevoerd, terwijl dat niet het geval is.
Naast het monitoren van bank-apps op besmette telefoons houdt de malware ook het gebruik van chatdiensten zoals WhatsApp, Signal en Telegram in de gaten. Door middel van de Android Accessibility Service kan de malware in real-time alles lezen wat op het scherm zichtbaar is. "Waaronder contacten, volledige gesprekken en de inhoud van inkomende en uitgaande berichten", aldus de onderzoekers. Die denken dat de ontwikkelaars van Sturnus met de monitoringsfunctie gevoelige communicatie in verschillende omgevingen proberen te onderscheppen.
Verder past de Android-malware allerlei maatregelen toe om verwijdering te voorkomen. Zo kan het telefoons op afstand vergrendelen. En wanneer slachtoffers naar het instellingenmenu gaan, om de administrator status van de malware uit te schakelen, wordt het scherm automatisch gesloten. "Totdat de administrator-rechten handmatig worden ingetrokken, wordt het gewoon verwijderen en verwijderen via tools zoals ADB geblokkeerd, wat de malware een goede bescherming tegen opschoonpogingen geeft", merken de onderzoekers op.
Blijkbaar is dat toch niet helemaal gelukt. Ofzo.
Of Android is toch niet zo’n geavanceerd os als we zouden mogen verwachten.
Bovendien is dit primair een bankingfraude app. Zo presenteert deze zich. Maar met extra toepassingen. Hoe zit het ook al weer met die digitale euro?
Centraal en Zuid Europa, daar richt Stumus zich op. Zou dit iets met vredesplannen te maken kunnen hebben.
Ik draag geen alu-hoedje, ik verbeeld me een a-morele megalomane zelfverrijkende schurk. Waarvan we er een paar bij naam kennen, dat ook nog.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?