Вредоносная программа Sturnus для Android с множеством угроз крадёт сообщения в Signal и WhatsApp

Главная страница » Вредоносная программа Sturnus для Android с множеством угроз крадёт сообщения в Signal и WhatsApp

20.11.2025

Время чтения: 4 мин.

Новый банковский троян для Android под названием Sturnus может перехватывать сообщения, передаваемые через платформы для обмена сообщениями со сквозным шифрованием, такие как Signal, WhatsApp и Telegram, а также получать полный контроль над устройством.

Несмотря на то, что вредоносная программа всё ещё находится в разработке, она полностью функциональна и настроена для атаки на учётные записи в нескольких финансовых организациях в Европе с использованием «региональных шаблонов наложения».

Sturnus представляет собой более серьёзную угрозу, чем современные семейства вредоносных программ для Android. Он использует сочетание незашифрованных данных, RSA-шифрования и AES-шифрования для связи с командно-контрольным сервером (C2).

Полный захват устройства Android

В отчёте компании ThreaFabric, специализирующейся на предотвращении онлайн-мошенничества и анализе угроз, объясняется, что Sturnus может похищать сообщения из приложений для обмена защищённой информацией после этапа расшифровки, перехватывая содержимое с экрана устройства.

Вредоносная программа также может похищать данные банковских аккаунтов с помощью HTML-наложений и поддерживает полное удалённое управление в режиме реального времени через сеанс VNC.

Судя по индикаторам компрометации в отчёте ThreatFabric, вредоносное ПО, скорее всего, маскируется под приложения Google Chrome или Preemix Box. Однако исследователи не выяснили, как распространяется это вредоносное ПО.

После установки вредоносное ПО подключается к инфраструктуре C2 для регистрации жертвы с помощью криптографического обмена.

Оно устанавливает зашифрованный HTTPS-канал для передачи команд и данных, а также WebSocket-канал с шифрованием AES для работы с VNC в режиме реального времени и мониторинга в реальном времени.

Читать Когда лучше всего покупать новый телефон?

Злоупотребляя специальными возможностями устройства, Sturnus может начать считывать текст с экрана, фиксировать вводимые пользователем данные, наблюдать за структурой пользовательского интерфейса, определять запуск приложений, нажимать кнопки, прокручивать страницу, вводить текст и перемещаться по телефону.

Чтобы получить полный контроль над устройством, Sturnus получает права администратора Android-устройства, которые позволяют ему отслеживать смену паролей и попытки разблокировки, а также удаленно блокировать устройство.

Вредоносная программа также пытается помешать пользователю отменить её привилегии или удалить её с устройства.

«Пока права администратора не будут отозваны вручную, как обычное удаление, так и удаление с помощью таких инструментов, как ADB, будут заблокированы, что обеспечивает вредоносному ПО надежную защиту от попыток очистки» — ThreatFabric

Когда пользователь открывает WhatsApp, Telegram или Signal, Sturnus использует свои разрешения для определения содержания сообщений, набранного текста, имён контактов и содержимого диалогов.

Таргетинг на приложения для обмена сообщениями
Источник: Threat Fabric

«Поскольку вредоносная программа использует ведение журнала службой специальных возможностей, а не перехват данных в сети, она может считывать всё, что отображается на экране, включая контакты, полные цепочки диалогов и содержимое входящих и исходящих сообщений, в режиме реального времени», — говорится в отчёте исследователей.

«Это делает данную возможность особенно опасной: она полностью обходит сквозное шифрование, предоставляя доступ к сообщениям после того, как они были расшифрованы легитимным приложением, и позволяя злоумышленнику напрямую просматривать якобы конфиденциальные разговоры».

Читать Хакеры используют плагин WordPress Post SMTP для взлома учётных записей администраторов

Режим VNC позволяет злоумышленникам нажимать кнопки, вводить текст, прокручивать страницу и перемещаться по операционной системе телефона и приложениям с помощью специальных возможностей.

Режим VNC от Sturmus
Источник: Threat Fabric

Когда всё готово, они активируют чёрное наложение и выполняют действия, которые остаются скрытыми от жертвы. Это могут быть денежные переводы из банковских приложений, подтверждение диалоговых окон, одобрение экранов многофакторной аутентификации, изменение настроек или установка новых приложений.

В отчёте ThreatFabric приведён пример наложения для поддельного экрана обновления системы Android, которое отображается, чтобы скрыть вредоносные действия, выполняемые в фоновом режиме.

Поддельное наложение обновлений Android
Источник: Threat Fabric

Исследователи отмечают, что Sturnus всё ещё находится на ранней стадии разработки и используется эпизодически, скорее для тестирования, чем для полномасштабных кампаний.

Тем не менее сочетание расширенных функций, которые обычно встречаются в вредоносных программах для Android высшего уровня, и «готовой к масштабированию» архитектуры делает эту угрозу опасной.

ThreatFabric зафиксировал маломасштабные атаки Sturnus, в основном нацеленные на пользователей в Южной и Центральной Европе. Это может указывать на то, что злоумышленники проводят тестирование для более масштабных кампаний

Пользователям Android рекомендуется не загружать APK-файлы из источников, не связанных с Google Play, не отключать Play Protect и не предоставлять разрешения для специальных возможностей без крайней необходимости.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Просмотров поста: 3

Редактор: AndreyEx

Рейтинг: 5 (1 голос)