Исследователи ThreatFabric сообщили о появлении нового банковского Android‑трояна под названием Sturnus. Хотя вредоносная программа всё ещё находится в стадии разработки, она уже полностью функциональна и заметно превосходит большинство современных Android‑троянов по уровню возможностей.
Главная особенность Sturnus заключается в умении перехватывать сообщения из Signal, WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещённой в России) и Telegram — уже после расшифровки. Троян получает доступ ко всему содержимому, отображаемому на экране, используя системные функции Accessibility. Благодаря этому он фактически обходит сквозное шифрование и напрямую читает переписки.
Помимо слежки за мессенджерами, Sturnus применяет HTML‑оверлеи (поддельные окна) для кражи банковских данных и поддерживает полноценный удалённый доступ к устройству через VNC‑сессию. По информации ThreatFabric, троян маскируется под приложения Google Chrome или Preemix Box. Как он распространяется, пока неизвестно.
После установки вредонос подключается к командному серверу, проходит криптографическую регистрацию и создаёт два защищённых канала связи:
- HTTPS — для отправки команд и похищенных данных,
- AES‑защищённый WebSocket — для VNC, наблюдения в реальном времени и управления смартфоном.
Получив права Device Administrator, Sturnus может отслеживать смену пароля, блокировать экран и препятствовать удалению себя. Без ручного отзыва этих привилегий удалить троян практически невозможно — даже через ADB.
Когда пользователь запускает WhatsApp, Telegram или Signal, Sturnus получает доступ к:
- тексту сообщений,
- вводимым данным,
- именам контактов,
- всей переписке в реальном времени.
По сути, это даёт злоумышленникам возможность читать конфиденциальные чаты, несмотря на защиту сквозным шифрованием. VNC‑режим позволяет удалённому оператору нажимать кнопки, вводить текст, листать экран и перемещаться по интерфейсу телефона. При необходимости он включает чёрную «маску», скрывающую происходящее от пользователя. В этот момент могут проводиться:
- операции в банковских приложениях,
- подтверждение MFA,
- изменение системных настроек,
- установка дополнительного ПО,
- любые другие действия от имени владельца устройства.
Исследователи также продемонстрировали поддельное окно «обновления Android», которое Sturnus выводит, чтобы скрыть свою активность.
По данным ThreatFabric, распространение трояна пока ограничено, вероятно, используется в тестовых кампаниях. Однако архитектура Sturnus рассчитана на масштабирование, а набор возможностей соответствует уровню самых продвинутых Android‑угроз.
