Після потрапляння на смартфон шкідливе ПЗ відстежує листування і формує підроблені екрани банківських додатків для розкрадання фінансових даних. 
Daniel Romero / unsplash.com
Експерти виявили нове шкідливе програмне забезпечення (ПЗ) для Android під назвою Sturus, яке використовує функції спеціальних можливостей, щоб непомітно працювати на пристрої та поширюватися через установку APK-файлів. Після потрапляння на смартфон вірус відстежує роботу інтерфейсу, листування і навіть ваші натискання, а потім формує підроблені екрани банківських застосунків для розкрадання фінансових даних. Крім того, Sturus блокує будь-які спроби його видалення. Про це повідомляють Dengi.ua з посиланням на публікацію Android Authority.
Зазначається, що компанія Google надала виданню офіційний коментар щодо загрози Sturnus.
"Судячи з наших поточних даних, у Google Play не виявлено жодного додатка, що містить це шкідливе ПЗ. Користувачі Android автоматично захищені від відомих версій цього шкідливого ПЗ за допомогою Google Play Protect, яка за замовчуванням увімкнена на пристроях Android із сервісами Google Play. Google Play Protect може попереджати користувачів або блокувати додатки, завідомо шкідливі, навіть якщо ці додатки отримано з джерел, які не входять у Play Маркет", – повідомив представник компанії.
Як пише видання, хоча Play Protect здатний протистояти відомим версіям шкідливих ПЗ, користувачам все ж рекомендується обережно ставитися до встановлення програм зі сторонніх джерел. Тому поява Sturnus – ще один серйозний аргумент на користь відмови від завантаження APK-файлів із неперевірених сайтів.
Читайте також: Шахраї за допомогою ШІ оформлювали кредити на українців: деталі
Також наголошується, що, за даними MTI Security, новий Android-троян здатний обходити захисні механізми, зокрема шифрування листувань, і перехоплювати повідомлення в популярних месенджерах на кшталт WhatsApp, Telegram і Signal. Шкідливе ПЗ не ламає криптографію, а отримує доступ до відображуваного на екрані контенту. Використовуючи HTML-оверлеї, Sturus також формує високоточні копії інтерфейсів банківських застосунків, щоб виманити особисті дані, і дає змогу зловмисникам віддалено контролювати пристрій. Вірус маскує власну активність, створюючи підроблені вікна системних оновлень Android.
Крім того, аналітики ThreatFabric встановили, що Sturus уже активний у кількох країнах Південної та Центральної Європи, хоча розробка вірусу ще триває. В організації підкреслюють, що, незважаючи на ранню стадію, програма вже демонструє більш розвинені механізми комунікації та підтримки пристроїв, ніж багато інших відомих троянів.
Дослідники зазначають, що вірус застосовує незвичну комбінацію шифрувальних методів – відкрите передання даних упереміш із RSA і AES, перемикаючись між форматами хаотично. Така поведінка нагадала експертам шпака Sturnus vulgaris, чий спів також вирізняється безладом і складністю – звідси і назва вірусу.
При цьому хоча точний спосіб поширення Sturus ще належить встановити, фахівці припускають, що зараження відбувається через підроблені вкладення в месенджерах. Після потрапляння на пристрій троян маскується під Google Chrome або інші системні додатки і отримує розширені права через розділ спеціальних можливостей. Завдяки цьому він перехоплює текст, що відображається, робить запис екрана, відтворює інтерфейси застосунків і фіксує дії користувача, включно з дотиками і натисканнями кнопок. Пізніше програма здатна сама вводити текст і керувати елементами інтерфейсу.
Додатково Sturus захоплює адміністративні права, що дає йому можливість стежити за спробами розблокування та отримувати відомості про введені паролі. Ці повноваження також використовуються для блокування пристрою і запобігання видаленню вірусу, навіть із використанням ADB-команд.
Водночас, як зазначає видання, хоча троян і націлений на перехоплення даних із зашифрованих листувань, передачу вкраденої інформації на сервери шахраїв неможливо відстежити, оскільки на пристрої створюється унікальний 256-бітний AES-ключ, який відправляють операторам вірусу, після чого всі комунікації шифруються.
В Android Authority упевнені, що незважаючи на статус "попередньої розробки", Sturus уже являє собою складний інструмент кібератаки. Через особливості його поширення запобігти зараженню можна тільки за рахунок обережного ставлення користувачів до встановлення APK-файлів із зовнішніх джерел. На тлі подібних загроз позиція Google щодо обмеження сторонніх завантажень на Android виглядає дедалі обґрунтованішою.
Нагадаємо, Dengi.ua повідомляли про те, що в Україні працює нова шахрайська схема, коли зловмисники імітують державні онлайн-сервіси.
Dengi.ua також писали, що фейкові листи, які надсилають нібито від імені Державної податкової служби, містять шкідливе програмне забезпечення.