В мире цифровой безопасности снова тревожные новости. Исследователи ThreatFabric обнаружили новый банковский Android-троян Sturnus, который уже успел выбиться в «топ» самых опасных вредоносов, хотя всё ещё находится в стадии активной разработки.
Почему так? Потому что он умеет самое страшное для *WhatsApp и других мессенджеров — читать ваши сообщения прямо с экрана, даже если они защищены сквозным шифрованием.
🔍 Что делает Sturnus таким опасным
Этот троян выделяется не количеством функций, а глубиной доступа к устройству:
📌 1. Перехватывает сообщения в WhatsApp и других мессенджерах
Sturnus использует системные сервисы Accessibility, те же инструменты, которые помогают людям с ограничениями здоровья пользоваться телефоном. Через них он просто «видит» всё, что появляется на экране:
- входящие сообщения;
- исходящие сообщения;
- набираемый текст;
- имена контактов;
- переписку в реальном времени.
То есть, сквозное шифрование перестаёт иметь значение, так как троян считывает данные уже после расшифровки на устройстве.
🛑 2. Полный контроль над смартфоном: от кликов до тайных операций
Одно из самых мощных оружий Sturnus это поддержка VNC-сессий. Это фактически удалённый рабочий стол смартфона:
- злоумышленник может нажимать кнопки, вводить текст, листать экран;
- переключаться между приложениями;
- выполнять банковские операции;
- подтверждать личность при входе в систему с помощью дополнительных факторов, помимо пароля (MFA);
- менять системные настройки;
- устанавливать дополнительные вредоносы.
Чтобы пользователь ничего не заметил, троян включает «чёрную маску» и экран становится полностью тёмным, хотя устройство продолжает работать.
💳 3. Кража банковских данных через HTML-оверлеи
Sturnus подменяет реальные окна приложений поддельными HTML-формами. Это такие «наложенные окна» для кражи банковских данных, когда пользователь видит «родной» интерфейс банка, вводит данные, после чего денежные средства уходят злоумышленникам.
🕵️♂️ 4. Глубокая маскировка и защищённые каналы связи
По данным ThreatFabric, троян маскируется под Google Chrome или Preemix Box. После установки он:
- связывается с командным сервером;
- проходит криптографическую регистрацию;
- создаёт два защищённых канала:
HTTPS — для передачи команд и украденных данных
AES-зашифрованный WebSocket — для VNC и «живого» управления телефоном.
🔐 5. Вирус почти невозможно удалить: требует ручного отзыва прав администратора
Получив права Device Administrator, Sturnus может:
- блокировать устройство;
- отслеживать изменение пароля;
- мешать пользователю удалить приложение.
Без ручного отключения этих прав удалить троян почти невозможно, даже через ADB.
🧩 Как распространяется Sturnus
Точный метод заражения пока не установлен. Исследователи предполагают, что сейчас Sturnus используется точечно в тестовых атаках. Но архитектура вредоноса явно подготовлена к масштабированию.
📌 Что это значит для обычных пользователей
Sturnus - это пример того, как современные Trojan-инструменты выходят на новый уровень:
- обход сквозного шифрования;
- перехват переписок в реальном времени;
- удалённое управление устройством;
- скрытые операции в банковских приложениях.
Даже опытный пользователь может не заметить заражения потому что троян работает тихо и аккуратно.
🛡 Как защититься
- Устанавливайте WhatsApp и другие приложения только из Google Play или известных проверенных магазинов.
- Отключите установку APK из неизвестных источников.
- Проверяйте список приложений с правами Accessibility и Device Administrator.
- Используйте актуальную антивирусную защиту.
- Будьте особенно осторожны с приложениями, выдающими себя за Chrome и сервисные обновления.
Если Sturnus выйдет из «тестового режима» и начнёт массово распространяться, мы рискуем столкнуться с одной из самых опасных волн мобильных атак за последние годы. Поэтому следить за обновлениями это не просто рекомендация, а необходимость.
Спасибо, что читаете — это уже огромная поддержка. А еще у вас есть возможность помочь мне через донаты. Это абсолютно добровольно, но невероятно ценно для меня. Вот ссылка, если вдруг захотите поддержать - https://dzen.ru/prowhatsapp?donate=true
Обязательно поделитесь этой важной информацией с другими и не забудьте подписаться на наш канал. Также, нам будет приятно, если вы поставите лайк 😊
*(WhatsApp принадлежит компании Meta, которая признана в России экстремистской и запрещена).