安卓新病毒伪装Chrome窃取屏幕信息被曝光

据媒体报道，安全研究人员最近发现了一款名为“Sturnus”的新型安卓银行木马，它可以绕过端到端加密防护，盗取Signal、WhatsApp以及Telegram等通讯应用里的信息内容。

该木马主要借助恶意APK文件进行传播，一旦被安装，就会伪装成谷歌Chrome这类系统应用，并且会违规使用安卓系统的无障碍服务以及“在其他应用上层显示”的权限，以此达成对受感染设备的近乎全面掌控。

在成功获取权限后，Sturnus可在用户毫无察觉的状态下实施多种恶意行为，比如监控屏幕显示的内容、对屏幕进行录制、记录用户的点击操作和输入行为，乃至主动操控界面并输入文本。借助屏幕读取这一手段，它能够直接获取到解密后的通讯信息，进而绕过端到端的加密防护机制。

技术分析进一步表明，Sturnus和指挥服务器之间的通信，一部分采用明文传输方式，另一部分则运用RSA与AES加密技术。

木马还会借助加密通道完成服务器注册，并搭建WebSocket连接来实现VNC远程实时控制功能。攻击者能够通过这一方式模拟用户的各类操作，比如执行转账操作、更改相关设置等，与此同时，还会在界面展示虚假的系统更新界面，以此来隐藏其恶意行为。

针对这一威胁，安全机构ThreatFabric给出如下建议：用户应避免安装来源不明的APK文件，确保Google Play Protect功能处于开启状态，同时在授予无障碍功能权限时务必保持谨慎。

谷歌公司也对此作出回应表示，经过检测，Google Play商店里没有发现任何包含该恶意软件的应用，同时强调Play Protect功能在默认状态下就能为用户提供防护。