Исследователи ThreatFabric сообщили о появлении нового Android-трояна Sturnus, который, по их оценке, заметно превосходит большинство современных мобильных вредоносов. Хотя троян всё ещё находится в разработке, он уже полностью функционирует и представляет серьёзную угрозу. Его главное отличие — способность перехватывать сообщения из Signal, Telegram и WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России) после расшифровки. Sturnus использует системные функции Accessibility и считывает содержимое экрана, полностью обходя сквозное шифрование. Пишет anti-malware.
Помимо доступа к перепискам, Sturnus крадёт банковские данные через HTML-оверлеи — поддельные окна авторизации — и позволяет злоумышленнику управлять смартфоном через VNC-сессию. По данным ThreatFabric, троян маскируется под приложения Google Chrome или Preemix Box. Способ его распространения пока не установлен.
После установки вредонос соединяется с командным сервером, проходит криптографическую регистрацию и открывает два защищённых канала: HTTPS для передачи команд и данных и AES-защищённый WebSocket для удалённого доступа к экрану. Получив права администратора устройства, Sturnus может блокировать телефон, отслеживать изменения пароля и мешать пользователю удалить себя — даже через ADB.
При открытии WhatsApp, Telegram или Signal троян видит все сообщения, вводимый текст и контакты в реальном времени. Через VNC злоумышленники могут выполнять действия от лица пользователя: подтверждать операции, менять настройки, устанавливать программы. Чтобы скрыть активность, Sturnus показывает поддельное окно «обновления системы Android».
По мнению ThreatFabric, сейчас Sturnus применяется ограниченно, вероятно, в тестовых атаках. Однако его архитектура рассчитана на масштабирование, а набор функций уже сопоставим с наиболее продвинутыми Android-троянами.
