Специалисты по кибербезопасности MTI Security сообщили о появлении нового угрожающего троянского ПО для Android, которое получает контроль над смартфонами через системные функции доступности. При этом вредонос способен полностью отслеживать действия пользователя, включая общение в мессенджерах и ввод паролей.
Об этом информирует Android Authority, а затем ситуацию прокомментировала Google.
Речь идет о новом банковском вирусе Sturnus. По данным исследователей, он распространяется вне Google Play - через установку APK-файлов из непроверенных источников, после чего троян получает доступ к функциям доступности Android.
Это позволяет ему:
- отслеживать интерфейс смартфона и весь контент экрана;
- видеть сообщения в WhatsApp, Telegram, Signal, обходя шифрование;
- перехватывать нажатия кнопок и ввод паролей;
- накладывать фейковые обновления Android, маскируя собственную активность;
- получать права администратора и блокировать попытки удаления, даже через ADB.
Более того, троян создает поддельные экраны входа для банковских приложений, чтобы украсть логин и пароль, и даже имитирует системное обновление Android, вводя пользователя в заблуждение.
Фактически, после заражения злоумышленники могут получить полный контроль над устройством - вплоть до возможности вводить текст и управлять его меню.
Распространение и технические особенности
По информации профильного агентства Threat Fabric, большинство случаев заражения выявлено в Южной и Центральной Европе. При этом аналитики считают, что текущие атаки могут быть лишь тестированием перед более широким масштабированием.
Хотя способ распространения Sturnus пока официально не установлен, эксперты предполагают, что Sturnus может передаваться через вредоносные вложения в мессенджерах, а после установки маскироваться под Chrome или системные приложения.
Также известно, что троян использует смешанную систему коммуникаций - plaintext, RSA и AES - хаотично переключаясь между ними. Именно из-за такой разнообразности методов он и получил название Sturnus - как и птица скворец, чья певческая манера непредсказуема и разнообразна.
Хотя вирус считается еще не полностью развернутым, он уже "полностью функционален и технически опережает некоторые известные семейства троянов", отмечают в ThreatFabric.
Что говорит Google
В своем комментарии для Android Authority Google подчеркнула:
- на Google Play зараженных приложений нет;
- пользователи защищены Google Play Protect, который по умолчанию активен на устройствах с Google Play Services;
- Play Protect способен блокировать вредоносную активность даже в программах, загруженных не из Play Store.
Это обнадеживающее сообщение, однако специалисты подчеркивают: никакая система защиты не поможет, если пользователь сам устанавливает APK-файлы из неизвестных источников.
Таким образом, эксперты советуют внимательно следить за разрешениями приложений, не открывать подозрительные вложения и обновлять систему безопасности смартфона, чтобы избежать проникновения Sturnus и подобных угроз.
По словам специалистов, наиболее эффективным способом защиты от Sturnus является полный отказ от установки APK-файлов из ненадежных источников.
