Новый банковский троянец Sturnus обходит шифрование WhatsApp, Telegram и Signal

Эксперты компании ThreatFabric идентифицировали Sturnus как частно распространяемый банковский троянец с широким набором функций для мошеннических операций. Ключевой особенностью стало умение malware (вредоносного программного обеспечения) контролировать переписку в WhatsApp, Telegram и Signal путем захвата контента непосредственно с экрана после декодирования. Таким образом, злоумышленники получают полный доступ к контактам, истории чатов и содержимому сообщений, несмотря на криптографическую защиту.

Троянец демонстрирует комплексный подход к краже финансовых данных. Он использует фишинговые страницы, которые точно копируют интерфейсы легитимных банковских приложений. Когда пользователь вводит учетные данные, они немедленно передаются на серверы злоумышленников. Одновременно malware предоставляет операторам расширенный удаленный контроль, позволяя наблюдать за всеми действиями жертвы, вводить текст и даже затемнять экран устройства во время проведения мошеннических транзакций.

Хотя анализ указывает на то, что Sturnus находится на стадии тестирования, его архитектура уже демонстрирует высокую сложность. Исследователи сопоставили возможности троянца с матрицей MITRE ATT&CK, выделив множество техник реализации атак. На текущий момент зафиксированы целевые атаки против финансовых организаций Южной и Центральной Европы, что свидетельствует о подготовке к более масштабной кампании.

Техническая реализация Sturnus включает многоуровневую систему коммуникации. Троянец использует комбинацию WebSocket (WSS) и HTTP-каналов, применяя смесь открытого текста и шифрования RSA/AES. После регистрации устройства генерируется 256-битный AES-ключ, который затем используется для защиты всего последующего трафика. Для каждого сообщения создается новый вектор инициализации, что усиливает криптостойкость.

Механизмы сбора данных сочетают HTML-оверлеи (наложенные окна) и кейлоггинг через службу доступности Android. Вредонос хранит библиотеку фишинговых шаблонов, которые активируются при открытии целевых приложений. Особую опасность представляет функция полного затемнения экрана, которая скрывает действия злоумышленников от пользователя.

Уникальность Sturnus проявляется в подходе к мониторингу мессенджеров. Вместо перехвата сетевого трафика троянец использует анализ элементов интерфейса через Accessibility Service. Это позволяет считывать всю переписку после ее расшифровки легитимным приложением, полностью обходя защиту сквозного шифрования.

Система удаленного контроля реализована через два взаимодополняющих метода: традиционный захват экрана и анализ дерева интерфейса. Первый метод обеспечивает видеопоток через VNC-протокол, второй передает структурированное описание всех элементов интерфейса. Это дает операторам детальный контроль над устройством при минимальном потреблении трафика.

Sturnus активно защищает свою устойчивость в системе, используя привилегии администратора устройства. При попытке пользователя удалить троянец через настройки, malware автоматически блокирует эти действия. Дополнительно осуществляется постоянный мониторинг окружения: отслеживаются изменения в сети, состоянии батареи, SIM-карте и установленных приложениях.

Эксперты отмечают, что сочетание перехвата сообщений, кражи банковских данных и полного удаленного контроля создает серьезную угрозу для конфиденциальности и финансовой безопасности пользователей. Хотя распространение Sturnus пока ограничено, его техническая сложность превышает возможности многих известных семейств мобильных троянцев. Пользователям рекомендуется устанавливать приложения только из официальных источников и внимательно отслеживать запросы разрешений для служб доступности.

Domains

• amoled.multicoloredhdrsupport.xyz
• walnut.almondcollections.com

SHA256

• 045a15df1121ec2a6387ba15ae72f8e658c52af852405890d989623cf7f6b0e5
• 0cf970d2ee94c44408ab6cbcaabfee468ac202346b9980f240c2feb9f6eb246d