文章总结： Sturnus是一种新型安卓银行木马，通过滥用辅助功能服务绕过WhatsApp、Telegram和Signal等应用的端到端加密，在信息解密后显示在屏幕上时窃取内容。该木马具备多管齐下的数据窃取引擎、双向冗余的远程控制体系、对抗性持久化与环境感知以及屏幕欺骗与隐蔽行动等功能。其技术创新包括加密绕过的颠覆性思路、深度且隐蔽的设备控制、高度工程化的冗余设计和复杂可靠的通信协议。用户应谨慎授予应用权限，特别是辅助功能权限，仅从官方应用商店下载应用，并对异常弹窗保持警惕。安全社区需应对这种基于辅助功能滥用的屏幕劫持行为，重新定义安全边界并进化防御策略。 综合评分： 87 文章分类： 恶意软件,漏洞分析,移动安全,威胁情报,数据安全

Sturnus木马如何窥视你的WhatsApp、Telegram和Signal等私密聊天与金融资产？

原创

网空闲话

网空闲话plus

2025年11月21日 18:09 北京

在数字安全领域，WhatsApp、Telegram和Signal等应用所采用的端到端加密技术，长期以来被视为隐私通信的坚实堡垒。然而，一座看似坚不可摧的堡垒，若从内部被攻破，其防御便形同虚设。近日，网络安全研究人员发现了一款名为Sturnus的新型安卓银行木马，它正是采用了这种“内部突破”的策略，成功绕过了上述加密应用的保护，对用户的金融安全和隐私构成了前所未有的威胁。

Sturnus并非试图在数学上破解复杂的加密算法，而是作为一款功能全面的设备劫持者，在感染手机后，直接窃取屏幕上解密后的明文信息。其名称源于欧洲椋鸟（Sturnus vulgaris），寓意其与命令控制服务器通信时，混合使用明文与加密数据的复杂、嘈杂模式。目前，这款由私人运营的恶意软件仍处于有限测试和定向攻击阶段，主要目标瞄准南欧和中欧的金融机构，但其展现出的高超技术水平和全面功能，预示着其可能成为未来大规模攻击的利器。

工作原理：釜底抽薪的“屏幕劫持”之道

Sturnus的核心攻击理念实现了关键的范式转移：放弃对加密数据的直接破解，转而攻击信息链中最脆弱的末端——设备屏幕。 其绕过加密通讯应用的具体工作原理如下：

滥用辅助功能服务：Sturnus在诱导用户授予其安卓辅助功能权限后，该权限便成为了其窃取数据的“万能钥匙”。通过监控TYPE_VIEW_TEXT_CHANGED、TYPE_VIEW_FOCUSED、TYPE_WINDOW_CONTENT_CHANGED等用户界面事件，木马可以实时读取屏幕上任何正在显示的内容。

在解密后窃取：当用户在WhatsApp、Telegram或Signal中收发信息时，应用程序会先将端到端加密的信息解密，然后以明文形式渲染在屏幕上供用户阅读。此刻，Sturnus便利用辅助功能服务，直接捕获这些已经解密的对话内容，包括联系人、完整的聊天记录以及收发消息的文本。

UI树记录与屏幕重构：为了提供更可靠的数据窃取通道，Sturnus会持续记录设备的整个用户界面树结构。这意味着即使应用设置了FLAG_SECURE（防止截图）或网络状况不佳导致实时传输中断，攻击者也能收到描述屏幕布局和所有元素内容的结构化日志，从而在远端完全重构出用户的屏幕画面，确保不遗漏任何私密信息。

简而言之，Sturnus在加密通信的“最后一公里”——即信息已解密并显示在用户眼前时——发起了攻击，使得任何加密保护在已受感染的设备上都彻底失效。

主要功能：一个全方位的移动设备劫持平台

除了窃取聊天记录，Sturnus更是一个功能极其全面的恶意软件，其能力覆盖了从初始入侵到长期控制的整个攻击链。

一是多管齐下的数据窃取引擎；

这是Sturnus最核心的犯罪目的。它通过两种紧密集成的机制窃取用户数据：

智能覆盖层攻击：它维护着一个存储在设备本地的钓鱼模板库，能够针对不同的银行和应用动态生成逼真的虚假登录界面。当用户启动目标应用时，Sturnus会覆盖上这些界面，直接钓取用户的凭证。其精妙之处在于“一次性”机制——一旦某个目标的凭证被窃取，对应的覆盖层便会自动禁用，以避免重复攻击引起怀疑。

全面的键盘记录与UI监控：通过滥用的辅助功能服务，它不仅能记录所有键盘输入，还能追踪焦点变化和点击事件，从而获取输入内容的上下文信息。这与覆盖层攻击形成冗余，确保关键数据无一漏网。

二是双向冗余的远程控制体系；

Sturnus为攻击者提供了两种互补的远程控制方式，以确保在任何环境下都能实现对设备的精细操控：

基于像素的实时屏幕流：其主要方法是通过系统的显示捕获框架，将设备屏幕实时镜像给攻击者，提供“所见即所得”的控制体验。当此方法被阻止时，备用机制会启用基于辅助功能的截图作为补充。

基于UI树结构的低带宽控制：这种方式不传输图像，而是发送屏幕上所有界面元素的结构化描述。攻击者可以在自己的控制端重构屏幕布局，并执行点击特定元素、输入文本、滚动、启动应用等精确操作。这种方法消耗带宽极低，且不会触发屏幕截图提示，隐蔽性极强。

三是对抗性持久化与环境感知；

为了长期驻留在设备上，Sturnus采取了主动防御策略：

防御性设备管理：在获取设备管理员权限后，它会主动监控用户行为。一旦检测到用户导航至可能撤销其权限的设置页面，它会立即自动操作，逃离该页面，打断用户的卸载尝试。

全面的环境监控系统：其内置的十二个广播接收器持续追踪系统状态、连接变化、USB调试、已安装应用列表等。这为攻击者提供了一个持续的反馈回路，使其能评估设备风险，动态调整攻击策略，并探测分析环境或模拟器。

四是屏幕欺骗与隐蔽行动；

为了在实施犯罪时不被察觉，Sturnus具备强大的屏幕欺骗能力：

全屏覆盖层：可以显示全屏黑色界面或模拟系统更新画面，完全屏蔽设备的视觉反馈。此时，受害者以为设备正在更新或出现故障，而攻击者正在后台执行转账或窃取数据等恶意操作。

主要特点：技术创新与攻击模式的进化

Sturnus的威胁性不仅在于其功能的全面，更在于其实现方式上的诸多创新：

加密绕过的颠覆性思路：这是Sturnus最显著的特点。它证明了在移动安全领域，设备层的失守将直接导致应用层加密的失效，为隐私保护敲响了新的警钟。

深度且隐蔽的设备控制：结合了覆盖层、远程控制、环境监控和防御性持久化等多种技术，提供了前所未有的设备控制深度，并能主动对抗用户的清理尝试，实现了长期驻留。

高度工程化的冗余设计：其关键功能均设计了备用方案：数据窃取有覆盖层和键盘记录两条路径；远程控制有像素流和UI树控制两种模式；屏幕捕获有系统框架和辅助功能两套机制。这种设计确保了攻击在任何情况下都能维持有效性。

复杂而可靠的通信协议：其通信模式融合了WebSocket和HTTP通道，并采用RSA与AES混合加密的方式（密钥交换使用RSA/ECB/OAEPWithSHA-1AndMGF1Padding，后续通信使用AES/CBC/PKCS5Padding），使得通信既高效又难以被检测和分析。

精准的犯罪商业模式：作为私下分发的恶意软件，其有限的样本数量、短暂间歇的攻击活动以及针对特定地区银行的定向攻击，表明其背后是一个目标明确、正在不断打磨工具以准备更大规模行动的犯罪组织。

小结与警示

Sturnus木马的出现，代表着一类新型高级移动威胁的诞生。它不再与加密技术正面对抗，而是巧妙地绕行至其后院，从根本上挑战了“端到端加密等于绝对安全”的普遍认知。

对于普通用户而言，这一威胁强调了一个残酷的现实：设备本身的安全是所有应用安全的前提。必须极度谨慎地授予应用权限（尤其是辅助功能权限），仅从官方应用商店下载应用，并对任何看似来自系统或知名应用的异常弹窗保持高度警惕。

对于安全社区而言，Sturnus带来了全新的防御挑战。如何有效检测和阻断这种基于辅助功能滥用的“屏幕劫持”行为，如何更有效地保护设备免受此类全面控制的木马侵袭，已成为亟待解决的重要课题。在Sturnus所代表的威胁面前，传统的安全边界需要被重新定义，防御策略也需要进行相应的进化。

参考资源

1、https://www.threatfabric.com/blogs/sturnus-banking-trojan-bypassing-whatsapp-telegram-and-signal?

2、https://www.securitylab.ru/news/566367.php

3、https://thehackernews.com/2025/11/new-sturnus-android-trojan-quietly.html