Новини України
Підбірка новин з українських джерел
Виявлено новий Android-троян Sturnus, який краде банківські дані
Дослідники з кібербезпеки розповіли про новий банківський троян для Android під назвою Sturnus. Він здатний викрадати дані для входу до банківських програм і фактично брати пристрій під повний контроль, що відкриває шлях до фінансового шахрайства.
За даними ThreatFabric, опублікованими в The Hacker News, головна відмінність Sturnus в умінні оминати зашифровані повідомлення. Шкідлива програма робить знімки екрана після розшифровки, завдяки чому отримує доступ до листування в WhatsApp, Telegram і Signal.
Однією із ключових функцій стали оверлейні атаки. Троян показує користувачеві підроблені вікна входу до банківських програм і таким чином збирає логіни та паролі. Фахівці зазначають, що Sturnus – приватний інструмент, який зараз перебуває на стадії раннього застосування. На цей час поширення ведеться через підроблені версії програм Google Chrome і Preemix Box.
Зловмисники націлюються на банки Південної та Центральної Європи, використовуючи регіональні підроблені веб-інтерфейси. Назва Sturnus пов’язана із схемою комунікації трояна. Він змішує передачу відкритого тексту та трафік, захищений AES та RSA.
Після встановлення троян підключається до віддаленого сервера через WebSocket та HTTP. Він реєструє пристрій та отримує зашифровані команди, а також створює канал WebSocket для повного віддаленого керування через віртуальні мережеві обчислення.
Окрім підроблених оверлеїв, шкідлива програма використовує функції спеціальних можливостей Android. Це дозволяє перехоплювати натискання клавіш та фіксувати активність користувача. Після того як троян отримує потрібні дані, він приховує підроблений екран, щоб не викликати підозр.
Ще один інструмент – повноекранне фальшиве вікно оновлення системи. Користувач думає, що йде інсталяція оновлення, а в цей час на пристрої виконуються шкідливі операції.
Sturnus також вміє відстежувати активність на пристрої, копіювати вміст повідомлень з популярних месенджерів та надсилати інформацію про кожен видимий елемент інтерфейсу. Це дозволяє зловмисникам відтворити макет екрану та віддалено натискати кнопки, вводити текст, гортати сторінки, запускати програми та навіть включати чорний екран.
Вбудований механізм віддзеркалення зображення дає можливість спостерігати за екраном у реальному часі. Якщо користувач відкриває настройки, де можна вимкнути права адміністратора, троян помічає це та автоматично закриває небезпечний розділ. Поки статус адміністратора не знято вручну, видалити шкідливе програмне забезпечення практично неможливо.
Додаткові функції включають збір даних про датчики, мережу, обладнання та встановлені програми. Ці відомості допомагають зловмисникам підлаштовувати атаки та уникати виявлення.
Експерти попереджають, що поки що масштаби зараження невеликі. Однак поєднання точкового поширення та орієнтації на прибуткові банківські додатки свідчить про те, що творці Sturnus готують більші та скоординовані атаки. Джерело