Новий банківський троян Sturnus для Android: Обхід шифрування та повний контроль над пристроєм

Android-троян Sturnus Технології

Кібербезпекова спільнота б’є на сполох: дослідники виявили новий, украй небезпечний банківський троян для Android під назвою Sturnus. Ця шкідлива програма має на меті фінансове шахрайство, викрадаючи облікові дані до банківських додатків і фактично отримуючи повний контроль над зараженим пристроєм.

Унікальна перевага Sturnus: Обхід шифрування

За даними фахівців ThreatFabric, ключова відмінність Sturnus від його попередників полягає у здатності обходити зашифровані повідомлення в популярних месенджерах, таких як WhatsApp, Telegram і Signal.

Як йому це вдається? Шкідлива програма робить знімки екрана відразу після розшифровки повідомлення. Таким чином, навіть якщо ваш чат захищений наскрізним шифруванням, троян отримує доступ до вмісту вашого листування.

Оверлейні атаки для крадіжки банківських даних

Один із основних механізмів викрадення фінансових даних — оверлейні атаки. Sturnus відображає підроблені, але ідентичні оригінальним, вікна входу поверх легітимних банківських програм. Користувач, нічого не підозрюючи, вводить свої логіни та паролі, які миттєво перехоплюються зловмисниками.

Цей інструмент поки що є приватним і перебуває на стадії раннього застосування, поширюючись через підроблені версії популярних програм, зокрема Google Chrome і Preemix Box. Зловмисники цілеспрямовано націлюються на банки Південної та Центральної Європи, використовуючи регіональні підроблені веб-інтерфейси.

Herodotus.A-Android-Trojan

Схема комунікації та віддалене керування

Назва Sturnus (Шпак) асоціюється зі схемою комунікації трояна, який змішує передачу відкритого тексту та трафік, захищений алгоритмами AES та RSA.

Після інсталяції Sturnus підключається до віддаленого сервера через WebSocket та HTTP, реєструє пристрій і створює канал WebSocket для повного віддаленого керування через віртуальні мережеві обчислення (VNC-подібний механізм).

Маскування та абсолютний контроль

Окрім оверлейних атак, троян використовує функції спеціальних можливостей Android (Accessibility Services), що дозволяє:

  • Перехоплювати натискання клавіш (кейлогінг).

  • Фіксувати активність користувача.

  • Копіювати вміст повідомлень.

  • Відтворювати макет екрана користувача та віддалено виконувати дії: натискати кнопки, вводити текст, гортати сторінки, запускати програми та навіть включати чорний екран під час виконання шкідливих операцій.

Ще одна хитра функція — повноекранне фальшиве вікно оновлення системи. Поки користувач бачить інсталяцію “оновлення”, троян виконує свої шкідливі завдання.

Як Sturnus захищає себе від видалення

Sturnus має вбудований механізм, який ускладнює його видалення. Якщо користувач відкриває налаштування, де можна вимкнути права адміністратора (необхідні для видалення), троян автоматично закриває цей розділ. Поки статус адміністратора не знято вручну, видалити шкідливе ПЗ практично неможливо.

Додатково троян збирає дані про сенсори, мережу, обладнання та встановлені програми, що допомагає зловмисникам підлаштовувати атаки та уникати виявлення антивірусним ПЗ.

Висновок експертів

Хоча наразі масштаби зараження невеликі, експерти попереджають: поєднання точкового поширення та чітка орієнтація на прибуткові банківські додатки свідчить про те, що творці Sturnus готуються до більших та скоординованих атак у майбутньому.

Зверніть увагу: Щоб мінімізувати ризик зараження, завжди завантажуйте програми лише з офіційного магазину Google Play та будьте уважні до запитів про надання прав адміністратора або доступу до спеціальних можливостей.

ALLBoard