Фахівці компанії ThreatFabric зафіксували появу нового шкідливого програмного забезпечення для Android під назвою Sturnus. Незважаючи на те, що цей троян перебуває на початковій стадії розробки, він уже демонструє високий рівень небезпеки для користувачів мобільних пристроїв.
Про це розповідає ProIT
Як працює троян Sturnus
Головна особливість Sturnus полягає в здатності перехоплювати повідомлення у популярних месенджерах після їх розшифрування. Для цього програма використовує легальні можливості Android Accessibility, що дозволяє зчитувати вміст екрана і фактично обходити наскрізне шифрування таких додатків, як WhatsApp, Telegram та Signal. Крім того, троян здатний виводити HTML-оверлеї, підміняючи інтерфейс додатків та викрадаючи банківські дані користувача.
Ще однією загрозою є повний віддалений контроль, який надає Sturnus через протокол VNC. Зловмисники можуть вільно керувати смартфоном: натискати кнопки, вводити інформацію, змінювати налаштування та виконувати інші дії від імені власника пристрою. Для маскування шкідлива програма може видавати себе за Google Chrome чи Preemix Box, а деталі способу її початкового поширення залишаються невідомими.
Захоплення контролю та механізми приховування
Після інсталяції Sturnus встановлює з’єднання з віддаленим сервером, проходить криптографічну автентифікацію та створює два зашифровані канали зв’язку: через HTTPS для отримання інструкцій і передачі вкрадених даних, а також через WebSocket із шифруванням AES для забезпечення віддаленого моніторингу екрана. Після отримання прав адміністратора троян може відстежувати зміну паролів, блокувати пристрій і ускладнювати процес видалення програми. Без попереднього відкликання адміністраторських прав деінсталяція Sturnus практично неможлива, навіть із використанням ADB.
“У режимі активного спостереження троян отримує доступ до тексту повідомлень, списку контактів та переписки в реальному часі. Для приховування злочинних дій використовується затемнююча “маска” екрана, під якою можуть відбуватися перекази коштів, підтвердження MFA, зміни налаштувань або встановлення додаткового ПЗ”.
Для введення користувачів в оману Sturnus здатний демонструвати фальшиві системні вікна, що імітують оновлення Android. Це допомагає приховати шкідливу діяльність і знизити ризик виявлення трояна власником пристрою.