Новый троян для Android угрожает перепискам в мессенджерах

Специалисты компании ThreatFabric обнаружили новый троян для Android под названием Sturnus, который уже на текущей стадии разработки обладает опасным функционалом по перехвату сообщений в мессенджерах.

По данным портала Anti-Malware, ключевая особенность вредоноса – способность обходить сквозное шифрование. Sturnus использует системные службы доступности (Accessibility) для считывания информации с экрана, что позволяет ему получать доступ к расшифрованному содержимому чатов в таких приложениях, как Signal, WhatsApp (принадлежит компании Meta, которая признана в России экстремистской и запрещена) и Telegram. 

Кроме шпионских функций, троян использует технологию HTML-оверлеев для подмены интерфейсов банковских приложений и кражи платежных данных, а также поддерживает полный удаленный контроль через VNC-соединение.

Вредонос маскируется под легальные программы, такие как Google Chrome и Preemix Box. После установки на устройство он подключается к командному серверу, проходит процедуру регистрации и создает два зашифрованных канала. К ним относится HTTPS для передачи данных и выполнения команд, а также WebSocket с шифрованием AES для удаленного управления в реальном времени.

Получив права администратора, Sturnus блокирует возможность своего удаления, отслеживает смену паролей и может полностью заблокировать смартфон. Деинсталлировать его без ручного отзыва этих привилегий практически невозможно. В режиме активного мониторинга троян перехватывает содержимое сообщений, вводимый текст, списки контактов и всю переписку. Функция удаленного доступа VNC позволяет злоумышленникам напрямую управлять интерфейсом. А именно нажимать кнопки, совершать переводы, подтверждать операции двухфакторной аутентификации и устанавливать дополнительное ПО. Для скрытия своей активности троян использует затемняющую маску экрана, а для маскировки может показывать фальшивые окна с сообщениями об обновлении системы.

Ранее хакеры начали использовать социальную инженерию и взлом аккаунтов WhatsApp для распространения банковского трояна Eternidade Stealer. Он действует через цепочку заражения, включающую Python, AutoIt и Delphi.