突破加密防护并完全控制安卓设备的Sturnus木马

安全研究机构 MTI Security 的安全人员发现一个被称为Sturnus的新型安卓银行木马，具备突破加密通信、远程控制设备等高级威胁能力。

MTI Security是一家专注于网络安全研究的机构，这个在在移动领域最新发现的被称为 Sturnus 的 Android 银行木马病毒是由私人运营的。

一、核心威胁能力

1、加密通信绕过‌

利用Android辅助功能，在合法应用解密后捕获屏幕内容，实时窃取WhatsApp、Telegram、Signal等端到端加密应用对话、联系人及消息。 

因此，Sturnus木马并非尝试破解网络加密，而是利用 Android 辅助功能（Accessibility Service） 在合法应用为用户解密后捕获屏幕内容。

这使攻击者具备高级的全设备接管能力，能够绕过加密消息，可以直接、实时查看本应私密的对话、联系人以及所有进出消息的内容。

这种全设备接管能力通过访问合法应用解密后的消息，完全规避了端到端加密，让攻击者直接窥视本应私密的对话。

2、全设备接管‌

通过覆盖攻击（Overlay attacks） 的逼真伪造登录界面伪造银行登录界面窃取凭证，采用“黑屏覆盖”机制隐藏恶意操作实现远程控制设备 。‌

具体来说，攻击者获得对受感染设备广泛远程控制权，包括观察所有用户活动，关键是“在后台执行欺诈交易时黑屏——不让受害者察觉”。

这种“黑屏覆盖”机制使攻击者能执行设备接管（DTO）欺诈，同时向受害者隐藏恶意活动。

Sturnus 为远程会话同时采用 基于像素的屏幕流传输 和 高效的 UI 树控制层。

第二种方法传输界面元素的结构化描述，可实现点击、文本输入等精确操作，且带宽消耗极小，不会触发标准屏幕捕获指示器。

尽管 MTI Security 指出该恶意软件“可能处于部署前状态”，但它已完全具备功能，部分方面甚至比成熟恶意软件家族更先进。

该木马通过滥用 Android 设备管理员权限确保持久化。

获得权限后，当用户尝试进入设置界面禁用其状态时，恶意软件会主动监控并自动跳转以阻止移除。

其命令与控制（C2）连接采用 HTTP 和 WebSocket 混合的复杂高级通信协议，并结合强 AES 加密，实现实时命令控制和战术动态调整。

二、技术实现

‌持久化机制‌：滥用Android设备管理员权限，阻止用户移除恶意软件 。‌

‌通信协议‌：混合使用HTTP和WebSocket，结合AES加密实现实时命令控制 。‌

‌数据窃取‌：通过键盘记录和屏幕捕获技术获取敏感信息 。

三、攻击目标

主要针对南欧和中欧金融机构，具备定向攻击特征 。‌

四、行业影响

该木马技术复杂度超过部分成熟恶意软件家族，可能引发更广泛的移动银行欺诈事件 。‌

Sturnus代表了一种高度复杂的综合威胁，结合多种攻击向量实现近乎完全的设备控制和数据窃取。

Sturnus恶意软件利用键盘记录和辅助功能从加密消息应用捕获敏感信息，为移动银行威胁树立了危险的新先例。