屏幕共享木马泄露 WhatsApp、Telegram 和 Signal 私密聊天

ThreatFabric 研究人员今年秋季开始监控新一轮 Android 恶意软件爆发时，本以为会发现又一个窃取密码、诱骗用户进行欺诈登录的银行木马。然而，他们发现了更具野心的东西。

据研究人员称，名为 Sturnus 的恶意软件仍处于"开发或有限测试阶段"。但即使在这个初始版本中，它也为远程操作者提供了极其广泛的访问权限，从设备级管理到收集私人财务数据的能力。

研究人员声称，Sturnus 的独特之处在于其功能巧妙地破坏了消费技术中最强大的安全措施之一：Signal、WhatsApp 和 Telegram 等应用中使用的加密技术。

攻击者并未突破这些系统，也没有破坏任何加密。相反，Sturnus 会等待、监控。一旦用户解密消息在屏幕上查看，该间谍软件就会实时复制通信内容。

屏幕成为安全通信的漏洞

多年来，加密通讯应用的开发者向客户保证可以关闭转发功能、限制截图、让消息消失。但这个想法只有在设备本身保持可信的情况下才可行。而有了 Sturnus，这个假设就崩溃了。

根据 ThreatFabric 的评估，加密会阻止恶意软件拦截网络通信。相反，它利用了 Android 的无障碍服务功能，这正是让残障人士能够读取屏幕上所有内容的相同机制。

实时记录联系人、消息历史和对话内容绕过了端到端加密应用的保护措施，而实际上并未跨越任何加密边界。

Sturnus 的通信架构使检测更加困难

为了与常规流量的背景噪声混合，该病毒通过明文、RSA 和 AES 加密通道的组合与其命令控制服务器通信。

由于其复杂性，检查 Sturnus 的网络流量或检索其窃取的内容要困难得多。

超越消费者：企业对企业的风险日益增加

虽然大多数针对移动消息应用的恶意软件主要对个人构成威胁，但 Sturnus 可能对组织产生影响。

加密通讯应用现在被用作非官方后台渠道，在包括国防和银行业在内的各种行业中共享敏感或私人信息。私营部门高管越来越多地使用它们来讨论交易、公司战略或合规问题。它们对记者、活动家和律师的安全通信至关重要。

Sturnus 记录这些平台消息的能力"可能给组织带来严重问题"，特别是那些依赖加密应用作为内部运营保障的组织。即使只有一台设备被入侵，也可能暴露整个关键通信线路。

传播方式：社交工程攻击

安全研究人员指出，虚假更新提示（如虚假的"Google Chrome 更新"）似乎在 Sturnus 的传播中发挥了作用，这些提示诱使用户下载可信软件的恶意版本。该策略类似于移动间谍软件中更普遍的趋势，这是极其不诚实但本质上简单的社交工程。

CISA 警告针对消息应用的间谍软件

美国网络安全和基础设施安全局（CISA）本周发布了自己的建议，警告用户注意网络行为者越来越多地使用商业间谍软件程序渗透主要消息应用的用户。

该机构的警告呼应了最新木马带来的危险，尽管没有具体提及 Sturnus。提到的策略是众所周知但仍然成功的：

• 旨在将受害者账户链接到攻击者控制设备的恶意 QR 码和网络钓鱼尝试

• 零点击漏洞利用，不需要用户执行任何操作

• 冒充 WhatsApp、Signal 等可靠平台的技术

CISA 的信息很直接：最佳实践保护措施是通用的，但国家关联或高端商业间谍软件操作者永远不会针对大多数普通用户。检查意外警报，避免扫描不可靠的 QR 码，不要连接太多设备，质疑任何意外要求身份验证的提示。

一旦设备被入侵，操作员可以看到每个敏感交互，不再有任何加密安全性。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享