【CNMO 科技消息】近日，安全研究人员发现一款名为 "Sturnus" 的新型安卓银行木马，能够窃取 Signal、WhatsApp 和 Telegram 等端到端加密通讯应用中的内容。CNMO 了解到，该恶意软件通过滥用安卓系统的无障碍功能，实现对受感染设备的近乎完全控制，并可在用户不知情的情况下执行银行交易。

据报道，"Sturnus" 目前仍处于开发阶段，但已具备完整功能，主要针对南欧和中欧多家金融机构的用户。其传播途径为伪装成 "Google Chrome" 或 "Preemix Box" 等合法应用的恶意 APK 文件，通过欺诈性广告或直接消息分发。

技术分析显示，"Sturnus" 与指挥服务器的通信部分采用明文，部分使用 RSA 和 AES 加密。其最突出的特点是能够绕过端到端加密——木马通过直接读取设备屏幕内容来获取已解密的消息，从而使加密机制失效。

此外，木马会通过加密通道注册到指挥服务器，并建立 WebSocket 连接以支持 VNC（虚拟网络计算）远程实时控制。攻击者可借此模拟用户操作，如点击、滚动、修改设置甚至进行转账，同时在用户界面显示伪造的系统更新窗口以掩盖其行为。

安全公司 ThreatFabric 建议用户切勿安装来源不明的 APK 文件，避免禁用 Play Protect，并谨慎授予无障碍功能权限，以降低感染风险。