Эксперты выявили новый продвинутый Android‑троян Sturnus

Эксперты компании ThreatFabric сообщили о появлении нового банковского трояна для Android под названием Sturnus. Специалисты отмечают, что вредонос ещё находится в разработке, однако уже обладает полным набором функций и по возможностям превосходит большинство известных мобильных троянов.

Главная особенность Sturnus в том, что он способен читать сообщения в Signal, WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещённой в России) и Telegram после их расшифровки. Троян использует сервисы доступности (Accessibility), чтобы получать всё содержимое, которое появляется на экране смартфона. Благодаря этому он обходит защиту сквозным шифрованием и фактически видит переписки так же, как их видит пользователь.

Помимо слежки за мессенджерами, троян показывает поддельные HTML‑окна для кражи банковских данных и поддерживает удалённый доступ через VNC‑сессию. По данным ThreatFabric, Sturnus маскируется под приложения Google Chrome или Preemix Box. Способ распространения угрозы пока не установлен.

После установки программа подключается к командному серверу, выполняет криптографическую регистрацию и создаёт два защищённых канала связи. Первый — HTTPS — используется для команд и передачи похищенной информации. Второй — WebSocket с шифрованием AES — обеспечивает работу VNC, наблюдение в реальном времени и управление устройством.

Получив права администратора (Device Administrator), Sturnus может отслеживать смену пароля, блокировать экран и препятствовать удалению себя. Без ручного отзыва этих привилегий удалить троян почти невозможно, даже с помощью ADB.

При запуске Signal, Telegram или WhatsApp троян получает доступ к тексту сообщений, данным, которые вводит пользователь, контактам и переписке в реальном времени. Это позволяет злоумышленникам читать конфиденциальные диалоги, подтверждать операции и контролировать смартфон. Через VNC‑режим оператор может нажимать кнопки, вводить текст, перемещаться по меню и использовать чёрный экран, скрывая свои действия от владельца телефона.

Исследователи также показали пример поддельного окна «обновления Android», которое троян выводит, чтобы скрыть собственную активность.

По оценке ThreatFabric, количество заражений пока небольшое. Вероятно, вредонос используется в тестовых атаках. Однако архитектура Sturnus позволяет масштабировать его распространение, а набор функций соответствует уровню самых продвинутых угроз для Android.