Пользователей Android предупредили об опасном вирусе

Эксперты ThreatFabric выявили новый троян для Android под названием Sturnus, который, несмотря на раннюю стадию разработки, способен перехватывать сообщения в мессенджерах. Об этом сообщает портал Anti-Malware, передает Day.Az со ссылкой на Gazeta.ru.

Ключевая особенность Sturnus - перехват сообщений в популярных мессенджерах после их расшифровки. Вредонос использует системные механизмы Accessibility для считывания содержимого экрана, что позволяет ему получать доступ к переписке в Signal, WhatsApp (Компания Meta Platforms Inc.* признана экстремистской организацией) и Telegram, обходя сквозное шифрование.

Помимо шпионажа за чатами, троян применяет HTML-оверлеи для подмены интерфейсов и кражи банковских данных, а также поддерживает полный удаленный контроль над устройством через VNC. Вредонос маскируется под приложения Google Chrome и Preemix Box. Способ первоначального распространения на данный момент не раскрывается.

После установки Sturnus подключается к управляющему серверу, проходит криптографическую регистрацию и создает два защищенных канала связи: HTTPS для команд и передачи похищенных данных, а также WebSocket с шифрованием AES для удаленного управления и мониторинга экрана в реальном времени.

Получив права администратора устройства, троян может отслеживать смену паролей, блокировать смартфон и препятствовать своему удалению. Без ручного отзыва этих прав деинсталляция фактически невозможна, в том числе через ADB.

В режиме активного мониторинга Sturnus получает доступ к содержимому сообщений, вводимому тексту, именам контактов и переписке в реальном времени. VNC-функциональность позволяет злоумышленникам управлять интерфейсом устройства - нажимать кнопки, вводить данные и выполнять любые действия от имени пользователя. Для сокрытия активности используется затемняющая "маска" экрана. Под ее прикрытием возможны переводы средств, подтверждения многофакторной аутентификации, изменения настроек и установка дополнительного ПО. Среди методов маскировки - вывод фальшивых системных окон якобы обновления Android.