Новый Android-троян научился читать чаты WhatsApp и Telegram

Исследователи MTI Security сообщили об обнаружении нового мобильного трояна Sturnus, который разработан специально для атак на банковские приложения и перехвата данных пользователей Android. Особенность вредоносной программы — она получает доступ к переписке в мессенджерах с защищённым сквозным шифрованием, включая WhatsApp, Telegram и Signal. Троян делает это, считывая содержимое экрана после расшифровки сообщений на устройстве.

По словам аналитиков, Sturnus пока распространяется ограниченно и, вероятно, находится на стадии тестирования. Тем не менее уже сейчас троян способен имитировать экраны входа в банковские приложения, перехватывать логины и пароли, управлять устройством удалённо и запускать операции от имени пользователя. При этом он может затемнить экран так, чтобы владелец смартфона не замечал действий, происходящих в фоновом режиме.

Первые шаблоны атак указывают, что разработчики Sturnus нацеливаются на пользователей финансовых организаций Южной и Центральной Европы. На заражённых устройствах троян активирует фальшивые HTML-страницы поверх банковских приложений и перехватывает всё, что вводит пользователь. После передачи данных в командный центр подменённый экран отключается, чтобы не вызывать подозрений.

Помимо подделки интерфейсов, Sturnus использует сервисы доступности Android, позволяя операторам отслеживать текст, нажатия и структуру элементов на экране. Этот способ не требует вмешательства в сетевой трафик и обходится без атак на шифрование — троян получает данные уже в расшифрованном виде, что делает бесполезными любые криптографические методы защиты со стороны мессенджеров.

Троян также поддерживает полноценный удалённый контроль устройства. Он может передавать изображение экрана в режиме реального времени или, если это заблокировано, отправлять структурированные данные о каждом элементе интерфейса. Такой режим позволяет злоумышленникам выполнять действия без заметных для пользователя визуальных признаков.

Эксперты считают, что Sturnus может стать основой для более масштабных финансовых атак, если его разработка перейдёт в активную фазу. Сейчас вредоносная программа всё ещё изучается, а её инфраструктура выглядит подготавливаемой к дальнейшему расширению.

Источник: https://www.threatfabric.com