Sturnus: новый Android-троян читает сообщения из Telegram, WhatsApp и Signal, обходя сквозное шифрование

Новый банковский троян для Android под названием Sturnus способен перехватывать переписку даже в мессенджерах с сквозным шифрованием — Signal, WhatsApp и Telegram. Кроме того, он может полностью захватывать контроль над устройством.

Несмотря на то что вредонос пока находится в разработке, он уже полностью функционален. Его настроили для атак на финансовые организации в Европе с помощью региональных HTML-шаблонов.

Sturnus превосходит многие существующие Android-семейства по уровню сложности: он использует смешанную схему связи с C2-сервером — обычный текст, а также шифрование RSA и AES.

Полный контроль над устройством Android

В отчете компании ThreatFabric говорится, что Sturnus умеет перехватывать сообщения из защищенных мессенджеров после того, как они уже расшифрованы системой — просто считывая содержимое с экрана.

Также троян собирает данные банковских аккаунтов через поддельные HTML-формы и поддерживает полное удаленное управление устройством в реальном времени по VNC.

Заражение начинается с установки вредоносного APK, замаскированного под Google Chrome или Preemix Box. Пока неизвестно, как распространяется вредонос, но эксперты считают наиболее вероятными источниками вредоносную рекламу или личные сообщения.

После установки троян связывается с управляющим сервером и регистрирует устройство через криптографический обмен.

Он устанавливает зашифрованный HTTPS-канал для получения команд и вывода данных, а также AES-зашифрованный WebSocket-канал для работы VNC в реальном времени и живого мониторинга.

Используя сервисы специальных возможностей (Accessibility) на устройстве, Sturnus может читать текст на экране, перехватывать ввод пользователя, анализировать структуру интерфейса, обнаруживать запуск приложений, нажимать кнопки, прокручивать экран, вводить текст и управлять навигацией по телефону.

Чтобы полностью контролировать смартфон, троян запрашивает права администратора устройства (Device Administrator). Это позволяет ему видеть изменения пароля, попытки разблокировки и даже блокировать устройство удаленно.

Кроме того, он препятствует удалению своих прав и собственной деинсталляции.

ThreatFabric поясняет:

Пока права администратора не будут отозваны вручную, стандартное удаление или удаление через ADB заблокированы. Это дает вредоносному приложению серьезную защиту от попыток очистки.

Когда пользователь открывает WhatsApp, Telegram или Signal, Sturnus использует свои разрешения, чтобы считывать содержимое сообщений, вводимый текст, имена контактов и историю переписки.

Исследователи отмечают в отчете:

Поскольку троян опирается на логирование через службу специальных возможностей, а не на перехват сетевого трафика, он способен в режиме реального времени читать все, что появляется на экране — включая контакты, полные цепочки переписки и содержимое входящих и исходящих сообщений.

Это делает угрозу особенно опасной: она полностью обходит сквозное шифрование, считывая сообщения после того, как их расшифровало легитимное приложение. По сути, злоумышленник получает прямой доступ к приватной переписке.

VNC-режим позволяет злоумышленникам нажимать кнопки, вводить текст, скроллить и управлять системой и приложениями через механизмы ассистивных технологий.

Когда все готово, вредоносная программа включает черный оверлей и выполняет действия, скрытые от пользователя, например перевод денег в банковских приложениях, подтверждение диалоговых окон, одобрение экранов многофакторной аутентификации, изменение настроек и установку новых приложений.

Отчет ThreatFabric показывает пример поддельного экрана «Android System Update», который используется для маскировки вредоносной активности в фоне.

По словам исследователей, Sturnus все еще находится на ранней стадии разработки и пока применяется точечно — вероятно, в рамках тестирования, а не крупных атак.

Тем не менее сочетание его продвинутых функций, которые обычно встречаются только в самых сложных Android-угрозах, и архитектуры, готовой к масштабированию, делает Sturnus угрозой, которой стоит опасаться.

ThreatFabric зафиксировала атаки Sturnus в небольшом объеме, в основном против пользователей Южной и Центральной Европы. Это может указывать на подготовку к расширению кампаний.

Пользователям Android рекомендуется не скачивать APK-файлы вне Google Play, не отключать Google Play Защита и не выдавать доступ к функциям специальных возможностей без реальной необходимости.