Эксперты компании ThreatFabric выявили новый троян для Android, называемый Sturnus, который уже на нынешнем этапе разработки обладает угрожающим функционалом для перехвата сообщений в мессенджерах.
Согласно информации с портала Anti-Malware, основная характеристика вредоносного ПО – умение обходить сквозное шифрование. Sturnus задействует системные службы доступности (Accessibility) для считывания информации с экрана, что даёт ему возможность получить доступ к расшифрованному содержимому чатов в таких приложениях, как Signal, WhatsApp (принадлежит компании Meta, признанной в России экстремистской и запрещенной) и Telegram.
В дополнение к шпионским возможностям, троян использует технологию HTML-оверлеев для подмены интерфейсов банковских приложений и кражи платежной информации, а также поддерживает полный удаленный доступ через VNC-соединение.
Вредоносное ПО маскируется под легитимные программы, такие как Google Chrome и Preemix Box. После установки на устройство оно подключается к командному серверу, проходит процедуру регистрации и создает два зашифрованных канала. К ним относятся HTTPS для передачи данных и выполнения команд, а также WebSocket с шифрованием AES для удаленного управления в реальном времени.
Получив права администратора, Sturnus блокирует возможность своего удаления, отслеживает изменения паролей и может полностью заблокировать смартфон. Удалить его без ручного отзыва этих привилегий практически невозможно. В режиме активного мониторинга троян перехватывает содержание сообщений, вводимый текст, списки контактов и всю переписку. Функция удаленного доступа VNC позволяет злоумышленникам непосредственно управлять интерфейсом. В частности, нажимать кнопки, совершать переводы, подтверждать действия двухфакторной аутентификации и устанавливать дополнительное программное обеспечение. Для скрытия своей активности троян использует затемняющую маску экрана, а также может демонстрировать фальшивые окна с уведомлениями об обновлении системы.
Ранее хакеры начали применять социальную инженерию и взлом аккаунтов WhatsApp для распространения банковского трояна Eternidade Stealer. Он функционирует через цепочку заражения, включающую Python, AutoIt и Delphi.
F6: Мошенники разработали фальшивое приложение для знакомств
