安卓新病毒 Sturnus 曝光：伪装成 Chrome 窃取银行密码、偷看加密聊天

11月26日，据科技媒体报道，一款名为“Sturnus”的新型安卓银行木马病毒正在网络空间迅速蔓延，该病毒通过恶意APK文件进行传播，并滥用安卓系统的“无障碍服务”权限，能够在用户毫无察觉的情况下完全控制设备，对用户的金融安全构成严重威胁。

根据安全研究机构MTI Security披露的详细信息，Sturnus木马主要通过恶意APK文件进行传播。一旦用户安装这些伪装成正常应用的恶意软件，它便会模仿谷歌Chrome浏览器等系统预装应用的行为，同时滥用“在其他应用上层显示”等安卓无障碍服务权限。这种精心设计的伪装使得普通用户很难察觉其存在。

获得系统权限后，Sturnus展现出令人震惊的破坏能力。它不仅可以监视屏幕上显示的所有文本、录制屏幕内容、记录用户的每一次点击和按键操作，甚至能够自行输入文本并直接操控手机界面。这种级别的控制权意味着用户的每一个操作都在木马的监视之下。

该木马的核心威胁在于其针对金融数据的专门化攻击能力。Sturnus能够精准识别银行应用界面，并通过生成高度逼真的HTML覆盖层来诱骗用户输入账户凭据。这种网络钓鱼攻击手法的精细程度前所未有，使得即使是谨慎的用户也难免上当。

更令人担忧的是，Sturnus还能绕过WhatsApp、Telegram等主流聊天软件的端到端加密保护，通过直接捕获屏幕内容的方式窥探用户的私密对话。同时，它还能获取设备管理员权限，监视锁屏密码输入，锁定设备，甚至阻止用户通过技术手段将其卸载。

网络欺诈防范机构ThreatFabric的分析显示，Sturnus的命名源自一种求偶叫声混乱无序的椋鸟，这恰好与其杂乱的通信协议特征相符。该木马混合使用明文、RSA和AES加密等多种通信方式，且切换毫无规律，这种行为模式大大增加了安全人员追踪分析的难度。

尽管研究人员认为Sturnus仍处于早期开发阶段，但其功能已经相当完善，在通信协议和设备支持方面甚至比一些成熟的木马家族更为先进。目前，该病毒已经在南欧和中欧的部分地区被实际部署使用。

面对这一威胁，谷歌公司迅速作出回应，强调经过全面检测，Google Play商店中并未发现任何包含此恶意软件的应用。同时，谷歌提醒用户，安卓设备上的Google Play Protect功能默认开启，可以自动保护用户免受此类已知恶意软件的侵害。