Новый Android-троянец Sturnus крадет деньги и блокирует смартфоны, маскируясь под Chrome

В последние дни в мире Android появилась новая угроза: вредоносное ПО Sturnus, о котором впервые сообщил AndroidAuthority. Этот банковский троянец распространяется через зараженные APK-файлы, маскируясь под знакомые приложения, такие как Google Chrome. После установки вирус запрашивает разрешение «неограниченный доступ«, что позволяет ему получить практически полный контроль над смартфоном, не вызывая подозрений владельца.

Sturnus использует возможности Android, чтобы следить за всем, что происходит на экране без ведома пользователя: он может захватывать набираемый текст, делать снимки экрана, записывать нажатия клавиш и даже самостоятельно управлять интерфейсом устройства. Эти возможности позволяют трояну получить полный контроль над устройством, зачастую оставляя пользователя в неведении о том, что происходит.

Штурнус особенно опасен, поскольку его целью являются финансовые данные. Вредоносное ПО может точно имитировать интерфейсы банковских приложений, создавая реалистичные фальшивые окна ввода логина и пароля. По незнанию пользователи вводят свои учетные данные, которые тут же крадут злоумышленники. Кроме того, троянский вирус умеет обходить шифрование в популярных мессенджерах, таких как WhatsApp и Telegram, перехватывая содержимое диалогов прямо с экрана.

Стурнус может получить права администратора на устройстве, что позволит ему не только отслеживать попытки разблокировки, но и блокировать смартфон и предотвращать его удаление даже с помощью таких инструментов, как ADB. Исследователи отмечают, что название вируса происходит от латинского названия скворца, птицы, известной своим хаотичным пением, что также отражает сложную структуру связи троянского коня: он использует разные методы шифрования, включая RSA и AES, и постоянно меняет их, что затрудняет отслеживание.

Хотя Sturnus все еще набирает обороты, его функциональность уже превосходит многие известные вредоносные программы. Случаи заражения зарегистрированы в странах Южной и Центральной Европы. В Google, со своей стороны, заявили, что в официальном Play Store подобных приложений обнаружено не было, а встроенная защита Play Protect включена по умолчанию и способна блокировать подобные угрозы.