Новый вирус Sturnus для Android: маскируется под Chrome и крадёт пароли

Согласно сообщениям СМИ, исследователи безопасности обнаружили новый банковский троян для Android под названием «Sturnus», который способен обходить защиту сквозного шифрования и красть содержимое из мессенджеров Signal, WhatsApp и Telegram.

Вредоносная программа распространяется в основном через файлы APK. После установки она маскируется под системные приложения, такие как Google Chrome, и злоупотребляет службами специальных возможностей Android и разрешением «отображение поверх других приложений», что позволяет получить практически полный контроль над заражённым устройством.

После получения прав доступа Sturnus может выполнять множество вредоносных операций без ведома пользователя, включая мониторинг содержимого экрана, запись экрана, регистрацию нажатий и ввода данных, а также самостоятельное управление интерфейсом и ввод текста. Такой подход, основанный на чтении экрана, позволяет напрямую получать расшифрованное содержимое переписок, обходя механизм сквозного шифрования.

Технический анализ также показал, что связь между Sturnus и командным сервером частично осуществляется в открытом виде, а частично — с использованием шифрования RSA и AES. Троян также регистрируется на сервере через зашифрованный канал и устанавливает соединение WebSocket для поддержки удалённого управления в реальном времени через VNC. Это позволяет злоумышленникам имитировать действия пользователя, такие как перевод денег или изменение настроек, одновременно отображая поддельные экраны обновления системы для маскировки вредоносной активности.

Компания ThreatFabric рекомендует пользователям избегать установки APK-файлов из ненадёжных источников, держать функцию Google Play Protect включённой и с осторожностью предоставлять разрешения для служб специальных возможностей.

В компании Google заявили, что проверка не выявила приложений с этим вредоносным ПО в магазине Google Play, и подчеркнули, что функция Play Protect по умолчанию обеспечивает защиту пользователей.