025 年 11 月下旬,安全研究机构 MTI Security 与 ThreatFabric 相继披露新型安卓银行木马病毒 “Sturnus”。该病毒以恶意 APK 文件为传播载体,伪装成谷歌 Chrome 浏览器(包名:com.klivkfbky.izaybebnx)等系统级应用,通过欺诈性广告、陌生消息推送等渠道诱导用户安装,目前已在南欧、中欧地区实际部署,针对多家金融机构用户发起精准攻击。
核心威胁:三重攻击直击隐私与财产安全。
- 金融数据窃取
Sturnus 滥用安卓 “无障碍服务” 和 “在其他应用上层显示” 权限,生成高度逼真的银行 APP HTML 覆盖层,诱骗用户输入账号密码完成钓鱼攻击。更危险的是,攻击者可通过 VNC 远程控制协议,模拟用户操作执行资金转账、修改账户设置等敏感操作。
- 破解加密通信
该病毒无需破解端到端加密协议,而是通过屏幕捕获技术,直接读取 WhatsApp、Telegram、Signal 等应用解密后的聊天内容。借助屏幕录制、触控记录功能,攻击者可完整获取私密对话、验证码等核心信息。
- 设备完全劫持
一旦安装,Sturnus 会自动获取设备管理员权限,监控锁屏密码输入、锁定设备屏幕,并阻止用户通过 ADB 调试工具或常规卸载方式清除病毒。同时会伪造系统更新界面,在后台静默执行恶意操作以掩盖痕迹。
技术特性:难以追踪的 “椋鸟式” 攻击
- 命名由来:因混合使用明文、RSA 与 AES 加密的无规律通信协议,类似欧洲椋鸟(Sturnus vulgaris)的混乱叫声而得名;
- 隐蔽机制:通过 WebSocket 建立加密通信通道,支持实时屏幕镜像与远程操控,环境监控能力可收集设备硬件、网络状态、已装应用清单等数据;
- 兼容性强:虽处于早期开发阶段,但设备支持范围与通信协议先进性已超越部分成熟木马家族。
安全防护指南:四步筑牢防线
- 严控应用来源:仅从 Google Play 等官方渠道下载应用,坚决拒绝安装陌生 APK 文件,警惕 “Chrome 更新包”” 系统优化工具 ” 等伪装诱导;
- 谨慎授予权限:关闭非必要应用的 “无障碍服务” 和 “悬浮窗” 权限,银行、通信类 APP 需逐一核查权限配置;
- 启用系统防护:确保 Google Play Protect 功能默认开启,定期使用安全软件进行全盘扫描,及时安装系统安全补丁;
- 监测异常行为:若手机出现电池耗电过快、屏幕莫名黑屏、弹出陌生验证窗口等情况,立即检查近期安装的可疑应用并强制卸载。
官方回应与后续预警
谷歌官方已确认,Google Play 商店暂未发现含 Sturnus 的恶意应用,默认启用的 Play Protect 可防御已知变体。但安全专家提醒,该病毒仍在快速迭代,未来可能扩展攻击范围,建议用户定期备份重要数据,避免在公共网络环境下进行金融操作。如怀疑设备感染,可通过安卓设置中的 “设备管理员” 选项手动移除恶意权限后卸载可疑应用。
