Эксперты ThreatFabric сообщили о появлении нового Android-трояна Sturnus, который, хотя еще находится на раннем этапе разработки, уже способен перехватывать сообщения в популярных мессенджерах.
Главная особенность Sturnus заключается в том, что он получает доступ к переписке после расшифровки сообщений. Для этого вредоносное ПО использует системные возможности Accessibility, считывая содержимое экрана и фактически обходя сквозное шифрование Signal, Telegram и WhatsApp.
Помимо слежки за чатами, троян применяет HTML-оверлеи, чтобы подменять интерфейсы приложений и похищать банковские данные. Также он поддерживает полный удаленный контроль над смартфоном через VNC: злоумышленники могут нажимать кнопки, вводить данные и выполнять любые действия от имени пользователя. Вредоносность маскируется под Google Chrome или Preemix Box, а способ ее первичного распространения пока не разглашается.
После установки троян соединяется с управляющим сервером, проходит криптографическую регистрацию и создает два закрытых канала связи: HTTPS – для команд и пересылки украденной информации, и WebSocket с шифрованием AES – для удаленного доступа и мониторинга экрана в реальном времени. Получив права администратора, Sturnus может следить за изменением паролей, блокировать телефон и препятствовать удалению. Без предварительного отзыва этих привилегий деинсталляция практически невозможна, даже через ADB.
В режиме активного наблюдения троян получает доступ к тексту сообщений, списку контактов и переписке в реальном времени. Для сокрытия преступных действий используется затемняющая” маска» экрана, под которой могут происходить переводы средств, подтверждение MFA, изменения настроек или установка дополнительного ПО. Также Sturnus может выводить фальшивые системные окна, имитируя обновление Android, чтобы не вызвать подозрения у владельца устройства.