Android ekosisteminde tespit edilen yeni bir zararlı yazılım, kullanıcı verilerini gözetleme kapasiteleriyle dikkat çekiyor. Sturnus adı verilen bu virüs, klasik banka dolandırıcılığı süreçlerini geride bırakarak cihaz üzerinde görünmez bir iz bırakarak hareket ediyor. Erişim sağlandığında, kullanıcı iletişim uygulamaları dahil olmak üzere uçtan uca şifrelenen platformları hedef alarak ekran görüntülerini hızla kaydedip saldırganların sunucularına iletebiliyor. Bu durum, kriptografik korumanın uygulanabilirliğini bozmasa da kullanıcı davranışlarının yüzeyde yakalanmasına yol açan görsel bir zafiyet yaratıyor.
Sturnus, yalnızca mesajların görüntülenmesiyle sınırlı kalmıyor; Android’in erişilebilirlik servislerini kötüye kullanarak cihazdaki dokunmatik hareketlerini takip edebiliyor, kullanıcı izinlerini kendi lehine yönlendirebiliyor ve gerekli gördüğü her işlemi otomatik olarak aracı adına gerçekleştirebiliyor. Böylece bankacılık uygulamalarına yerleştirilen sahte giriş pencereleriyle kullanıcıların şifrelerini, ödeme kartı bilgilerini ve diğer kritik verileri toplamayı mümkün kılıyor.
Arka planda kurduğu altyapı da son derece profesyonel. Enfekte olmuş cihazlar, saldırganların uzaktan yönetebildiği bir kontrol paneline bağlanıyor; burada ekran canlı izlenebiliyor, VNC bağlantıları kurularak tam kontrol sağlanıyor ve zararlı işlemler anlık olarak yürütülüyor. Bu yapı, Sturnus’u sıradan bir mobil zararlıdan çok organize bir casusluk aracı olarak konumlandırıyor.
İlginç olan, virüsün kendi varlığını koruma mekanizması. Kullanıcı uygulamayı kaldırmaya çalıştığında Sturnus hemen devreye girip ilgili ekranı kapatıyor veya kullanıcıyı başka bir menüye yönlendirebiliyor. Yönetici izinleri geri alınmadıkça sistemden kaldırılması neredeyse imkânsız hâle geliyor ve cihazda derinlemesine kök salmış bir yazılım gibi davranıyor. Ayrıca sensör verileri, ağ iletişimi ve diğer telemetri bilgileri sürekli olarak saldırganlara iletiliyor.
Şu an için yayılan örneklerin büyük bölümü Avrupa’daki Android kullanıcılarını kapsıyor. Uzmanlar, Sturnus’un arkasında organize bir grup olduğunu ve enfeksiyon hızının önümüzdeki günlerde artabileceğini belirtiyor. Bu nedenle bilinmeyen kaynaklardan uygulama kurulumu, doğrulanmamış güncellemelerin onaylanması ve gereksiz erişilebilirlik izinlerinin verilmesi gibi hatalardan kaçınılması gerektiği vurgulanıyor.
