Фахівці з кібербезпеки MTI Security повідомили про появу нового загрозливого троянського ПЗ для Android, яке отримує контроль над смартфонами через системні функції доступності. При цьому шкідник здатний повністю відстежувати дії користувача, включно зі спілкуванням у месенджерах та введенням паролів.
Про це інформує Android Authority, а згодом ситуацію прокоментувала Google.
Так, йдеться про новий банківський вірус Sturnus. За даними дослідників, він поширюється поза Google Play - через встановлення APK-файлів із неперевірених джерел, після чого троян отримує доступ до функцій доступності Android.
Це дозволяє йому:
- відстежувати інтерфейс смартфона та увесь вміст екрана;
- бачити повідомлення у WhatsApp, Telegram, Signal, оминаючи шифрування;
- перехоплювати натискання кнопок і введення паролів;
- накладати фейкові оновлення Android, маскуючи власну активність;
- отримувати права адміністратора та блокувати спроби видалення, навіть через ADB.
Більше того, троян створює підроблені екрани входу для банківських застосунків, щоб викрасти логін і пароль, і навіть імітує системне оновлення Android, вводячи користувача в оману.
Фактично, після зараження зловмисники можуть отримати повний контроль над пристроєм - аж до можливості вводити текст і керувати його меню.
Поширення та технічні особливості
За інформацією профільної агенції Threat Fabric, більшість випадків зараження виявлено у Південній і Центральній Європі. При цьому аналітики вважають, що поточні атаки можуть бути лише тестуванням перед ширшим масштабуванням.
Хоч спосіб поширення Sturnus поки офіційно не встановлено, експерти припускають, що Sturnus може передаватися через шкідливі вкладення в месенджерах, а після встановлення маскуватися під Chrome або системні застосунки.
Також відомо, що троян використовує змішану систему комунікацій - plaintext, RSA та AES - хаотично перемикаючись між ними. Саме через таку різноманітність методів він і отримав назву Sturnus - як і птах шпака, чия співоча манера непередбачувана й різноманітна.
Хоча вірус вважається ще не повністю розгорнутим, він уже "повністю функціональний і технічно випереджає деякі відомі сімейства троянів", зазначають у ThreatFabric.
Що каже Google
У своєму коментарі для Android Authority Google наголосила:
- на Google Play заражених застосунків немає;
- користувачі захищені Google Play Protect, який за замовчуванням активний на пристроях із Google Play Services;
- Play Protect здатний блокувати шкідливу активність навіть у програмах, завантажених не з Play Store.
Це заспокійливе повідомлення, однак фахівці наголошують: жодна система захисту не допоможе, якщо користувач сам встановлює APK-файли з невідомих джерел.
Таким чином, експерти радять уважно стежити за дозволами додатків, не відкривати підозрілі вкладення та оновлювати систему безпеки смартфона, щоб уникнути потрапляння Sturnus та подібних загроз.
За словами фахівців, найефективнішим способом захисту від Sturnus є повна відмова від встановлення APK-файлів із ненадійних джерел.
