Новый вредонос «скворец» обходит шифрование в WhatsApp и Telegram

Исследователи из MTI Security нашли новый банковский троян для устройств с операционной системой Android, получивший название Sturnus (лат. «скворец»). Этот вредонос умеет обходить шифрование популярных мессенджеров, считывая сообщения прямо с экрана после их расшифровки. Sturnus может следить за WhatsApp (принадлежит Meta, которая признана в РФ экстремистской и запрещена), Telegram и Signal (заблокирован в РФ в 2024 году).

В исследовании MTI Security отмечают, что Sturnus использует сложную систему коммуникации с серверами управления. Он работает по WebSocket-каналам и через HTTP-каналы, применяя многоуровневую схему шифрования с RSA и AES. Часть данных передаётся в незашифрованном виде, что создаёт хаотичный паттерн коммуникации, напоминающий щебетание скворца — отсюда и название трояна. После заражения вредонос получает доступ к устройству и активирует службу специальных возможностей Android. Это позволяет ему отслеживать события и получать полный контроль над интерфейсом устройства. Когда пользователь открывает банковское приложение, троян накладывает фишинговые экраны, неотличимые от оригинала, и собирает введённые данные. После кражи данных фальшивый экран отключается, чтобы не вызывать подозрений. Троян также может включать чёрный экран, который скрывает от пользователя вредоносную активность в фоне.

Одна из самых опасных фич Sturnus — перехват сообщений. Троян автоматически активируется, когда жертва открывает мессенджер. Поскольку он использует логирование через службу специальных возможностей, а не сетевой перехват, вредонос может читать всё, что показано на экране, — контакты, переписки, содержимое входящих и исходящих сообщений в реальном времени.

Новый троян защищается от удаления, получая права администратора устройства. Когда пользователь пытается отозвать эти права, вредонос обнаруживает попытку и автоматически перебрасывает на другую страницу настроек. Пока права администратора активны, ни стандартное удаление, ни использование Android Debug Bridge (ADB) не помогут избавиться от Sturnus. По словам ИБ-специалистов MTI Security, вредоносная программа пока находится на стадии тестирования, но уже полностью функциональна. Текущие атаки Sturnus направлены на банки Южной и Центральной Европы. Как отметили эксперты, программа превосходит многие известные вредоносные ПО в части протоколов связи и поддержки устройств.