Обнаружен новый Android-троян Sturnus, который крадёт банковские данные и полностью захватывает устройство

Исследователи по кибербезопасности рассказали о новом банковском трояне для Android под названием Sturnus. Он способен похищать данные для входа в банковские приложения и фактически брать устройство под полный контроль, что открывает путь к финансовому мошенничеству.

По данным ThreatFabric, опубликованным в The Hacker News, главное отличие Sturnus в умении обходить зашифрованные сообщения. Вредоносная программа делает снимки экрана уже после расшифровки, благодаря чему получает доступ к переписке в WhatsApp, Telegram и Signal.

Одной из ключевых функций стали оверлейные атаки. Троян показывает пользователю поддельные окна входа в банковские приложения и таким образом собирает логины и пароли. Специалисты отмечают, что Sturnus — частный инструмент, который сейчас находится в стадии раннего применения. На данный момент распространение ведётся через поддельные версии приложений Google Chrome и Preemix Box.

Злоумышленники нацеливаются на банки Южной и Центральной Европы, используя региональные поддельные веб-интерфейсы. Название Sturnus связано со схемой коммуникации трояна. Он смешивает передачу открытого текста и трафик, защищённый AES и RSA.

После установки троян подключается к удалённому серверу через WebSocket и HTTP. Он регистрирует устройство и получает зашифрованные команды, а также создаёт канал WebSocket для полного удалённого управления через виртуальные сетевые вычисления.

Помимо поддельных оверлеев, вредоносная программа использует функции специальных возможностей Android. Это позволяет перехватывать нажатия клавиш и фиксировать активность пользователя. После того как троян получает нужные данные, он скрывает поддельный экран, чтобы не вызвать подозрений.

Ещё один инструмент — полноэкранное фальшивое окно обновления системы. Пользователь думает, что идёт установка обновления, а в это время на устройстве выполняются вредоносные операции.

Sturnus также умеет отслеживать активность на устройстве, копировать содержимое сообщений из популярных мессенджеров и отправлять информацию о каждом видимом элементе интерфейса. Это позволяет злоумышленникам воссоздать макет экрана и удалённо нажимать кнопки, вводить текст, листать страницы, запускать приложения и даже включать чёрный экран.

Встроенный механизм зеркалирования изображения даёт возможность наблюдать за экраном в реальном времени. Если пользователь открывает настройки, где можно отключить права администратора, троян замечает это и автоматически закрывает опасный раздел. Пока статус администратора не снят вручную, удалить вредоносное ПО практически невозможно.

Дополнительные функции включают сбор данных о датчиках, сети, оборудовании и установленных приложениях. Эти сведения помогают злоумышленникам подстраивать атаки и избегать обнаружения.

Эксперты предупреждают, что пока масштабы заражения небольшие. Однако сочетание точечного распространения и ориентации на прибыльные банковские приложения говорит о том, что создатели Sturnus готовят более крупные и скоординированные атаки.

Источник: The Hacker News