Фахівці MTI Security виявили нове шкідливе програмне забезпечення (ПЗ) Sturnus, що здатне перехоплювати вміст екрана та читати повідомлення в зашифрованих месенджерах. Як пише Android Authority, цей вірус фіксують переважно у країнах Південної та Центральної Європи, водночас Google заявляє, що в Play Store заражених застосунків немає.
За даними експертів з кібербезпеки MTI Security, Sturnus використовує функції доступності системи Android для отримання контролю над інтерфейсом смартфона та може стежити за повідомленнями в месенджерах, натисканнями кнопок і введенням паролів. Загроза поширюється через установлення APK-файлів поза межами Google Play.
Sturnus здатний обходити захист месенджерів, включно з паролями чатів WhatsApp, Telegram і Signal, після чого отримує доступ до вмісту застосунку. Він також може створювати підроблені екрани входу, які накладаються на банківські застосунки, та маскуватися під оновлення Android.
За інформацією фахівців, шкідник має можливість вводити текст, переміщатися інтерфейсом телефона та отримувати права адміністратора. Це дозволяє зловмисникам перешкоджати його видаленню, навіть через ADB, а також відстежувати спроби розблокування та паролі.
Агентство Threat Fabric повідомляє, що більшість випадків зараження наразі зафіксовано у Південній і Центральній Європі. За їхнім висновком, Sturnus працює на основі “хаотичної суміші” відкритого тексту, RSA та AES-зв’язку (зашифрованого), постійно перемикаючись між різними формами шифрування.
Згідно з аналізом Threat Fabric, “шкідливе програмне забезпечення, ймовірно, перебуває у стані перед розгортанням, але воно вже повністю функціональне”. У звіті також вказано, що поведінка Sturnus нагадує Sturnus vulgaris (шпак звичайний), оскільки зв’язок між пристроєм і серверами керування має подібні хаотичні дії.
Точний спосіб поширення трояна поки невідомий. Проте дослідники припускають, що зараження відбувається через вкладення у повідомленнях месенджерів. Далі Sturnus маскується під підроблені версії Chrome чи інших встановлених застосунків і отримує адміністраторські дозволи, що дає йому змогу контролювати пристрій.
За словами Google, на Google Play не виявлено застосунків, заражених Sturnus. Компанія наголосила, що користувачі захищені від відомих версій шкідника завдяки системі Google Play Protect, яка може попереджати або блокувати програми з ознаками шкідливої активності, навіть якщо вони встановлені поза межами офіційного магазину.
Експерти підкреслюють, що основний спосіб захисту від Sturnus – уникати встановлення APK-файлів із неперевірених джерел. Вони застерігають, що природа атаки не залишає інших надійних способів запобігти зараженню, окрім як утримуватися від інсталяції програм не з Google Play.