Эксперты выявили новое вредоносное программное обеспечение (ПО) для Android под названием Sturus, которое использует функции специальных возможностей, чтобы незаметно работать на устройстве и распространяться через установку APK-файлов. После попадания на смартфон вирус отслеживает работу интерфейса, переписки и даже ваши нажатия, а затем формирует поддельные экраны банковских приложений для хищения финансовых данных. Кроме того, Sturus блокирует любые попытки его удаления. Об этом сообщают Dengi.ua со ссылкой на публикацию Android Authority.
Отмечается, что компания Google предоставила изданию официальный комментарий касательно угрозы Sturnus.
«Судя по нашим текущим данным, в Google Play не обнаружено ни одного приложения, содержащего это вредоносное ПО. Пользователи Android автоматически защищены от известных версий этого вредоносного ПО с помощью Google Play Protect, которая по умолчанию включена на устройствах Android с сервисами Google Play. Google Play Protect может предупреждать пользователей или блокировать приложения, заведомо вредоносные, даже если эти приложения получены из источников, не входящих в Play Маркет», — сообщил представитель компании.
Как пишет издание, хотя Play Protect способен противостоять известным версиям вредоносных ПО, пользователям всё же рекомендуется осторожно относиться к установке программ из сторонних источников. Поэтому появление Sturnus — ещё один серьёзный аргумент в пользу отказа от загрузки APK-файлов из непроверенных сайтов.
Также отмечается, что, по данным MTI Security, новый Android-троян способен обходить защитные механизмы, в том числе шифрование переписок, и перехватывать сообщения в популярных мессенджерах вроде WhatsApp, Telegram и Signal. Вредоносное ПО не ломает криптографию, а получает доступ к отображаемому на экране контенту. Используя HTML-оверлеи, Sturus также формирует высокоточные копии интерфейсов банковских приложений, чтобы выманить личные данные, и позволяет злоумышленникам удалённо контролировать устройство. Вирус маскирует собственную активность, создавая поддельные окна системных обновлений Android.
Кроме того, аналитики ThreatFabric установили, что Sturus уже активен в нескольких странах Южной и Центральной Европы, хотя разработка вирусаещё продолжается. В организации подчёркивают, что, несмотря на раннюю стадию, программа уже демонстрирует более развитые механизмы коммуникации и поддержки устройств, чем многие другие известные трояны.
Исследователи отмечают, что вирус применяет необычную комбинацию шифровальных методов — открытую передачу данных вперемешку с RSA и AES, переключаясь между форматами хаотично. Такое поведение напомнило экспертам скворца Sturnus vulgaris, чье пение также отличается беспорядочностью и сложностью — отсюда и название вируса.
При этом хотя точный способ распространения Sturus ещё предстоит установить, специалисты предполагают, что заражение происходит через поддельные вложения в мессенджерах. После попадания на устройство троян маскируется под Google Chrome или другие системные приложения и получает расширенные права через раздел специальных возможностей. Благодаря этому он перехватывает отображаемый текст, делает запись экрана, воспроизводит интерфейсы приложений и фиксирует действия пользователя, включая касания и нажатия кнопок. Позднее программа способна сама вводить текст и управлять элементами интерфейса.
Дополнительно Sturus захватывает административные права, что даёт ему возможность следить за попытками разблокировки и получать сведения о введённых паролях. Эти полномочия также используются для блокировки устройства и предотвращения удаления вируса, даже с использованием ADB-команд.
В то же время, как отмечает издание, хотя троян и нацелен на перехват данных из зашифрованных переписок, передача украденной информации на серверы мошенников не возможно отследить, поскольку на устройстве создаётся уникальный 256-битный AES-ключ, который отправляется операторам вируса, после чего все коммуникации шифруются.
В Android Authority уверены, что несмотря на статус «предварительной разработки», Sturus уже представляет собой сложный инструмент кибератаки. Из-за особенностей его распространения предотвратить заражение можно только за счёт осторожного отношения пользователей к установке APK-файлов из внешних источников. На фоне подобных угроз позиция Google по ограничению сторонних загрузок на Android выглядит всё более обоснованной.
Напомним, Dengi.ua сообщали о том, что в Украине работает новая мошенническая схема, когда злоумышленники имитируют государственные онлайн-сервисы.
Dengi.ua также писали, что фейковые письма, которые присылают якобы от имени Государственной налоговой службы, содержат вредоносное программное обеспечение.
