خطر غير مرئي.. برمجية خبيثة تخترق واتساب وسيجنال وتكشف أسرار محادثاتك
كشف باحثون في ThreatFabric عن برنامج خبيث يستهدف نظام أندرويد يسمي Sturnus، وهو قادر على اعتراض محتوى الرسائل في تطبيقات التراسل المشفرة مثل سيجنال وواتساب وتيليجرام، إضافة إلى إمكانية السيطرة الكاملة على الجهاز المصاب.
رغم أن البرمجية الضارة لا تزال تحت التطوير، إلا أنها تعمل بكامل طاقتها وقد صممت لاستهداف حسابات عدد من المؤسسات المالية في أوروبا باستخدام ما وصفه الباحثون بـ "قوالب تراكب مخصصة حسب المنطقة".
تروجان أندرويد جديد يهدد مستخدمي أشهر تطبيقات الدردشة
يعد Sturnus تهديدا متقدما مقارنة بعائلات البرمجيات الخبيثة الأخرى على أندرويد، حيث يستخدم مزيجا من الاتصالات النصية العادية وRSA وAES مع خوادم القيادة والسيطرة (C2).
يمكن للتروجان سرقة الرسائل من التطبيقات الآمنة بعد مرحلة فك التشفير من خلال التقاط المحتوى مباشرة من شاشة الجهاز، كما يمكنه الحصول على بيانات اعتماد الحسابات البنكية عبر تراكبات HTML، ويدعم التحكم الكامل في الجهاز عن بعد في الوقت الفعلي عبر جلسة VNC.
وبحسب التقرير، غالبا ما يتنكر Sturnus على شكل تطبيقات جوجل كروم أو Preemix Box، بينما لم يكتشف بعد كيفية توزيع البرمجية.
بعد التثبيت، يتصل الجهاز المصاب ببنية C2 لتسجيل الضحية عبر تبادل تشفير، وينشئ قناة HTTPS مشفرة للأوامر وتسريب البيانات، إلى جانب قناة WebSocket مشفرة بـ AES لعمليات VNC والمراقبة المباشرة.
من خلال استغلال خدمات الوصول Accessibility على الجهاز، يستطيع Sturnus قراءة النصوص على الشاشة، والتقاط مدخلات المستخدم، ومراقبة هيكل واجهة التطبيقات، واكتشاف إطلاق التطبيقات، والضغط على الأزرار، والتمرير، وإدخال النصوص، والتنقل بين عناصر الهاتف.
كما يحصل التروجان على امتيازات مدير جهاز أندرويد Device Administrator، مما يمكنه من متابعة تغييرات كلمات المرور ومحاولات فتح القفل، وقفل الجهاز عن بعد، ومنع المستخدم من إزالة صلاحياته أو إلغاء تثبيته.
عند فتح واتساب أو تيليجرام أو سيجنال، يستخدم Sturnus صلاحياته لمراقبة محتوى الرسائل، والنصوص المكتوبة، وأسماء جهات الاتصال، ومحادثات المستخدم بالكامل.
ويشير الباحثون إلى أن هذه الطريقة تتجاوز التشفير من طرف إلى طرف End-to-End Encryption، حيث يمكن للتروجان رؤية الرسائل بعد فك تشفيرها من التطبيق الرسمي مباشرة، مما يجعل الخصوصية الافتراضية للرسائل غير فعالة.
