Эксперты ThreatFabric выявили новый троян для Android под названием Sturnus, который, несмотря на раннюю стадию разработки, способен перехватывать сообщения в мессенджерах.
Ключевая особенность Sturnus — перехват сообщений в популярных мессенджерах после их расшифровки. Вредонос использует системные механизмы Accessibility для считывания содержимого экрана, что позволяет ему получать доступ к переписке в Signal, WhatsApp и Telegram, обходя сквозное шифрование, передает anti-malware.ru
Помимо шпионажа за чатами, троян применяет HTML-оверлеи для подмены интерфейсов и кражи банковских данных, а также поддерживает полный удаленный контроль над устройством через VNC. Вирус маскируется под приложения Google Chrome и Preemix Box. Способ первоначального распространения на данный момент не раскрывается.
После установки Sturnus подключается к управляющему серверу, проходит криптографическую регистрацию и создает два защищенных канала связи: HTTPS для команд и передачи похищенных данных, а также WebSocket с шифрованием AES для удаленного управления и мониторинга экрана в реальном времени.
Получив права администратора устройства, троян может отслеживать смену паролей, блокировать смартфон и препятствовать своему удалению. Без ручного отзыва этих прав деинсталляция фактически невозможна, в том числе через ADB.
В режиме активного мониторинга Sturnus получает доступ к содержимому сообщений, вводимому тексту, именам контактов и переписке в реальном времени. VNC-функциональность позволяет злоумышленникам управлять интерфейсом устройства — нажимать кнопки, вводить данные и выполнять любые действия от имени пользователя.
Для сокрытия активности используется затемняющая «маска» экрана. Под ее прикрытием возможны переводы средств, подтверждения многофакторной аутентификации, изменения настроек и установка дополнительного ПО. Среди методов маскировки — вывод фальшивых системных окон якобы обновления Android.