Novi Android virus krade poruke sa Signala i WhatsAppa čim ih otvorite

Android korisnici u Evropi upozoreni su na novi tip virusa koji krade poruke sa aplikacija kao što su Signal, WhatsApp i Telegram, istovremeno preuzimajući punu kontrolu nad telefonom. Stručnjaci tvrde da je ovaj malver još u razvoju, ali već sada predstavlja ozbiljnu pretnju.

Malver pod nazivom Sturnus dolazi prerušen u lažne Android aplikacije koje izgledaju kao Google Chrome ili sistemske aplikacije, a zatim preuzima privilegije na telefonu i prati sve što se pojavljuje na ekranu. To znači da može da čita sadržaj poruka nakon što su već dešifrovane, pa korisnik ni po čemu ne može da primeti da je kompromitovan.

Preporučujemo

Sturnus ne presreće podatke preko mreže, već direktno čita ekran i tekst koji korisnik kuca u realnom vremenu. Zbog toga može da prati razgovore, kontakte, imena sagovornika, bankarske aplikacije i potvrde u aplikacijama za autentifikaciju. Iako se još testira, prve infekcije zabeležene su kod korisnika u južnoj i centralnoj Evropi.

Virus krade poruke nakon otključavanja šifrovane aplikacije

Sturnus koristi sistemska dozvoljenja koja mu omogućavaju da prati pokrete po ekranu, pritisnute tastere, otvaranje aplikacija, pa čak i da sam izvršava radnje umesto korisnika. Sturnus malver, Android pretnja, krađa poruka, Signal sigurnost i WhatsApp hakovanje ključni su pojmovi koje stručnjaci trenutno prate.

Jedan od najopasnijih delova napada je to što virus može da preuzme potpunu kontrolu nad telefonom i obavlja radnje dok na ekranu prikazuje lažni prozor, na primer lažnu "sistemsku nadogradnju". Korisnik u tom trenutku ne vidi šta se dešava, pa malver može da potvrdi transakcije, odobri dvostruku autentifikaciju ili instalira druge aplikacije.

Stručnjaci navode da malver ima mehanizme koji otežavaju njegovo uklanjanje i da korisnik prvo mora ručno da mu ukine administratorske privilegije, tek onda može da ga obriše.

Kako da se zaštitite i izbegnete infekciju

Istraživači upozoravaju da se infekcija najverovatnije širi preko lažnih linkova, poruka i oglasa koji nude aplikacije van Google Play prodavnice. Najčešći mamci su lažni pretraživači, sistemske aplikacije, "bezbednosne nadogradnje" i verzije aplikacija dostupne samo kao APK fajlovi.

Stručnjaci preporučuju da korisnici izbegavaju instaliranje APK fajlova sa interneta, da ostave aktiviranu zaštitu Google Play Protect, da provere dozvole koje aplikacije traže i da nikad ne daju pristup servisima za pristupačnost ako to nije apsolutno neophodno.

Napadi su za sada ograničeni, ali sposobnost virusa da zaobiđe enkripciju i čita poruke nakon otključavanja aplikacije znači da bi u većim kampanjama mogao da pogodi veliki broj korisnika.

(Telegraf.rs)