Компания по кибербезопасности MTI Security обнаружила новый троян Sturnus для Android. Вредоносная программа использует функции специальных возможностей системы, чтобы получить полный контроль над смартфоном. Троян перехватывает сообщения в мессенджерах, следит за введенными паролями и крадет банковскую информацию. Как сообщает Android Authority, угроза распространяется через установку APK-файлов вне официального магазина Google Play.
Специалисты пока не установили точный механизм заражения, но предполагают, что вредитель может попадать на устройства через вложения в сообщениях мессенджеров. После установки Sturnus маскируется под легитимные программы — чаще всего под браузер Chrome или системные обновления Android. Троян автоматически запрашивает и получает административные права, из-за чего его трудно удалить даже через отладочный мост (ADB). Вредонос следит за попытками разблокировки экрана и перехватывает пароли, давая злоумышленникам информацию для противодействия удалению.
Троян обходит защиту популярных мессенджеров благодаря своим техническим возможностям. Несмотря на сквозное шифрование в WhatsApp, Telegram и Signal, он считывает информацию прямо с экрана смартфона. Вредонос также создает поддельные экраны входа, которые накладываются на банковские приложения для похищения учетных данных. Sturnus может самостоятельно вводить текст и управлять интерфейсом операционной системы.
Агентство по борьбе с онлайн-мошенничеством Threat Fabric сообщило, что наибольшее количество заражений зафиксировано в странах Южной и Центральной Европы. Аналитики предполагают, что текущие атаки могут быть пробными перед более масштабной кампанией по распространению трояна. Точное количество пострадавших пользователей остается неизвестным.
Подписывайтесь на Mediasat в Telegram: здесь самые интересные новости из мира технологий
Представители Google заявили, что в официальном магазине Google Play зараженных приложений не обнаружили. Компания подчеркнула — встроенная система Google Play Protect защищает от известных версий Sturnus на всех устройствах с сервисами Google Play. Эта функция включена по умолчанию и может предупреждать или блокировать установку программ с вредоносной активностью, даже когда их загружают из альтернативных источников. Специалисты по кибербезопасности советуют пользователям не устанавливать APK-файлы с неофициальных ресурсов — это лучший способ обезопасить себя от заражения.
Появление Sturnus продолжает тревожную тенденцию эволюции вредоносных программ. Недавно специалисты обнаружили первую программу-вымогатель PromptLock, которая использует искусственный интеллект для киберпреступлений. В отличие от Sturnus, этот вредитель угрожает пользователям Windows, Linux и macOS.
