快科技 11 月 26 日消息，据媒体报道，安全研究人员近期发现一款名为 "Sturnus" 的新型安卓银行木马，能够绕过端到端加密保护，窃取 Signal、WhatsApp 和 Telegram 等通讯应用中的内容。

该木马主要通过恶意 APK 文件传播，一旦安装，便会伪装成谷歌 Chrome 等系统应用，并滥用安卓系统的无障碍服务与 " 在其他应用上层显示 " 权限，从而实现对受感染设备的近乎完全控制。

在获取权限后，Sturnus 能够在用户无感知的情况下执行多项恶意操作，包括监视屏幕内容、录制屏幕、记录点击与输入行为，甚至自行操控界面和输入文本。这种基于屏幕读取的方式使其能够直接获取解密后的通讯内容，从而绕过了端到端加密机制。

技术分析进一步显示，Sturnus 与指挥服务器之间的通信部分采用明文传输，部分使用 RSA 与 AES 加密。木马还会通过加密通道注册至服务器，并建立 WebSocket 连接以支持 VNC 远程实时控制。攻击者可借此模拟用户操作，如进行转账、修改设置等，同时在界面显示伪造的系统更新画面以掩盖恶意行为。

针对这一威胁，安全机构 ThreatFabric 建议用户避免安装来源不明的 APK 文件，保持 Google Play Protect 处于开启状态，并谨慎授予无障碍功能权限。

谷歌公司亦对此回应称，经检测，Google Play 商店中未发现任何含有该恶意软件的应用，并强调 Play Protect 功能可在默认状态下为用户提供防护。