Обнаружен новый банковский троян для Android «Sturnus», который может похитить конфиденциальные данные и захватить контроль над устройством для проведения мошеннических операций.
Ключевой особенностью вредоносного ПО является способность обходить зашифрованные сообщения. Используя специальные возможности Android, Sturnus считывает контент с экрана устройства после дешифровки, позволяя злоумышленнику читать сообщения в популярных мессенджерах, таких как WhatsApp, Telegram и Signal.
Другое важное свойство вируса заключается в проведении атак с использованием наложения ложных окон регистрации поверх оригинальных банковских приложений, помогающих собирать данные пользователей. Вирус разработан частным образом и сейчас проходит стадию тестирования.
Программа создана специально для атаки на банковские учреждения в странах Южной и Центральной Европы с применением местных особенностей инфраструктуры. Название Sturnus связано с комбинированной коммуникационной схемой, использующей открытый текст, алгоритмы шифрования AES и RSA.
Запустившись на устройстве, троян связывается с удалёнными серверами через протоколы WebSocket и HTTP, регистрируя устройство и передавая обратно зашифрованные данные. Он открывает канал WebSocket, который обеспечивает злоумышленникам интерактивное взаимодействие с устройством Android в режиме виртуальной сетевой консоли (VNC).
Троян создаёт фальшивые графические накладки для банковских приложений, собирая введённые пользователем учётные данные, а затем мгновенно закрывает их, чтобы избежать подозрения жертвы. Он также способен показывать полный экран блокировки обратной связи, симулирующий процесс обновления ОС Android.
Дополнительные функции программы включают мониторинг активности устройства и использование служб специальных возможностей Android для захвата и отправки содержания переписок. Это позволяет преступникам воспроизводить интерфейс своего устройства и удалённо инициировать взаимодействия, включая ввод текста, выполнение прокрутки, открытие приложений и подтверждение прав доступа.
Альтернатива удалённого управления основана на функции захвата экрана устройства, позволяющей дублировать экран устройства злоумышленника в реальном времени. Каждый раз, когда пользователь пытается изменить пароль или удалить вредоносное приложение, оно активизирует специальные инструменты слежения, которые определяют элементы управления и переключают на другие страницы, препятствуя действиям пользователя.
Широкий спектр возможностей для сбора данных позволяет отслеживать состояние устройств, сетей, оборудования и приложений. Это даёт киберпреступникам постоянную информацию, которую они используют для адаптации своих методов атаки и ухода от обнаружения.
География атак и нацеленность на важные приложения свидетельствуют о том, что злоумышленники активно развивают свои инструменты для организации более крупных и согласованных действий.
Ключевой особенностью вредоносного ПО является способность обходить зашифрованные сообщения. Используя специальные возможности Android, Sturnus считывает контент с экрана устройства после дешифровки, позволяя злоумышленнику читать сообщения в популярных мессенджерах, таких как WhatsApp, Telegram и Signal.
Другое важное свойство вируса заключается в проведении атак с использованием наложения ложных окон регистрации поверх оригинальных банковских приложений, помогающих собирать данные пользователей. Вирус разработан частным образом и сейчас проходит стадию тестирования.
Программа создана специально для атаки на банковские учреждения в странах Южной и Центральной Европы с применением местных особенностей инфраструктуры. Название Sturnus связано с комбинированной коммуникационной схемой, использующей открытый текст, алгоритмы шифрования AES и RSA.
Запустившись на устройстве, троян связывается с удалёнными серверами через протоколы WebSocket и HTTP, регистрируя устройство и передавая обратно зашифрованные данные. Он открывает канал WebSocket, который обеспечивает злоумышленникам интерактивное взаимодействие с устройством Android в режиме виртуальной сетевой консоли (VNC).
Троян создаёт фальшивые графические накладки для банковских приложений, собирая введённые пользователем учётные данные, а затем мгновенно закрывает их, чтобы избежать подозрения жертвы. Он также способен показывать полный экран блокировки обратной связи, симулирующий процесс обновления ОС Android.
Дополнительные функции программы включают мониторинг активности устройства и использование служб специальных возможностей Android для захвата и отправки содержания переписок. Это позволяет преступникам воспроизводить интерфейс своего устройства и удалённо инициировать взаимодействия, включая ввод текста, выполнение прокрутки, открытие приложений и подтверждение прав доступа.
Альтернатива удалённого управления основана на функции захвата экрана устройства, позволяющей дублировать экран устройства злоумышленника в реальном времени. Каждый раз, когда пользователь пытается изменить пароль или удалить вредоносное приложение, оно активизирует специальные инструменты слежения, которые определяют элементы управления и переключают на другие страницы, препятствуя действиям пользователя.
Широкий спектр возможностей для сбора данных позволяет отслеживать состояние устройств, сетей, оборудования и приложений. Это даёт киберпреступникам постоянную информацию, которую они используют для адаптации своих методов атаки и ухода от обнаружения.
География атак и нацеленность на важные приложения свидетельствуют о том, что злоумышленники активно развивают свои инструменты для организации более крупных и согласованных действий.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь