Специалисты MTI Security обнаружили новое вредоносное программное обеспечение (ПО) Sturnus, способное перехватывать содержимое экрана и читать сообщения в зашифрованных мессенджерах. Как пишет Android Authority, этот вирус фиксируют преимущественно в странах Южной и Центральной Европы, в то же время Google заявляет, что в Play Store зараженных приложений нет.
По данным экспертов по кибербезопасности MTI Security, Sturnus использует функции доступности системы Android для получения контроля над интерфейсом смартфона и может следить за сообщениями в мессенджерах, нажатиями кнопок и вводом паролей. Угроза распространяется через установку APK-файлов вне Google Play.
Sturnus способен обходить защиту мессенджеров, включая пароли чатов WhatsApp, Telegram и Signal, после чего получает доступ к содержимому приложения. Он также может создавать поддельные экраны входа, которые накладываются на банковские приложения, и маскироваться под обновления Android.
По информации специалистов, вредитель имеет возможность вводить текст, перемещаться по интерфейсу телефона и получать права администратора. Это позволяет злоумышленникам препятствовать его удалению, даже через ADB, а также отслеживать попытки разблокировки и пароли.
Агентство Threat Fabric сообщает, что большинство случаев заражения пока зафиксировано в Южной и Центральной Европе. По их заключению, Sturnus работает на основе "хаотичной смеси" открытого текста, RSA и AES-связи (зашифрованной), постоянно переключаясь между различными формами шифрования.
Согласно анализу Threat Fabric, "вредоносное программное обеспечение, вероятно, находится в состоянии перед развертыванием, но оно уже полностью функционально". В отчете также указано, что поведение Sturnus напоминает Sturnus vulgaris (скворец обыкновенный), поскольку связь между устройством и серверами управления имеет подобные хаотичные действия.
Точный способ распространения трояна пока неизвестен. Однако исследователи предполагают, что заражение происходит через вложения в сообщениях мессенджеров. Далее Sturnus маскируется под поддельные версии Chrome или других установленных приложений и получает администраторские разрешения, что позволяет ему контролировать устройство.
По словам Google, на Google Play не обнаружено приложений, зараженных Sturnus. Компания отметила, что пользователи защищены от известных версий вредителя благодаря системе Google Play Protect, которая может предупреждать или блокировать программы с признаками вредоносной активности, даже если они установлены вне официального магазина.
Эксперты подчеркивают, что основной способ защиты от Sturnus - избегать установки APK-файлов из непроверенных источников. Они предостерегают, что природа атаки не оставляет других надежных способов предотвратить заражение, кроме как воздерживаться от установки программ не из Google Play.
Недавно Google совместно с платформой YouGov обнародовала исследование, которое демонстрирует значительное преимущество смартфонов Android над iPhone в обнаружении и блокировании мошеннических сообщений. Независимые эксперты подтверждают это, отмечая, что Android использует девять уровней ИИ-защиты против только двух у конкурента.