Обнаружен Android-троян Sturnus, который перехватывает сообщения в WhatsApp и Telegram
Краткое резюме
Обнаружен новый Android-троян Sturnus, способный перехватывать сообщения в WhatsApp, Telegram и Signal. Троян устанавливается через вредоносное APK-приложение и может полностью контролировать заражённое устройство, получая права администратора.
Специалисты обнаружили новый банковский троян — Sturnus. Вредоносное ПО способно перехватывать сообщения в мессенджерах с сквозным шифрованием, таких как WhatsApp, Telegram и Signal. Кроме того, троян может полностью взять под контроль заражённое устройство.
Хотя разработка Sturnus ещё не завершена, троян уже функционирует и нацелен на учётные записи нескольких европейских банков. Для связи с управляющим сервером (C2) вредоносное ПО использует комбинацию открытого текста и зашифрованных данных RSA и AES.
Троян Sturnus устанавливается на Android-устройства через вредоносное APK-приложение, которое маскируется под Google Chrome или пиратский магазин приложений Preemix Box. Исследователям пока не удалось определить способ распространения этого вредоноса, но предполагается, что используются реклама или методы социальной инженерии.
После установки троян регистрирует жертву и устанавливает зашифрованный канал связи по протоколу HTTPS для передачи команд и кражи данных. Также создаётся зашифрованный канал WebSocket для управления устройством и мониторинга в реальном времени.
С помощью служб специальных возможностей Sturnus считывает текст с экрана, перехватывает вводимые данные, отслеживает структуру пользовательского интерфейса, обнаруживает запуск приложений и управляет другими функциями смартфона. Для полного контроля над устройством троян получает права администратора, что позволяет ему отслеживать смену паролей и попытки разблокировки, а также удалённо блокировать устройство.
Когда пользователь открывает WhatsApp, Telegram или Signal, Sturnus перехватывает содержимое сообщений, набранный текст, имена, контакты и другие данные переписки. Троян обходит защиту сквозным шифрованием, получая доступ к сообщениям после их расшифровки легитимным мессенджером.
В режиме удалённого управления злоумышленники могут нажимать кнопки, вводить текст, прокручивать страницы и перемещаться по интерфейсу ОС смартфона и приложений. Затем экран перекрывается чёрным фоном, и хакеры выполняют скрытые от жертвы действия, такие как денежные переводы в банковских приложениях, подтверждения в диалоговых окнах, прохождение экранов многофакторной авторизации, изменение настроек и установка новых приложений.