Исследователи ThreatFabric сообщили о выявлении нового банковского трояна для Android под названием Sturnus. Эта вредоносная программа сочетает функции классического банкёра и полноценного средства удалённого администрирования: она перехватывает содержимое переписок в WhatsApp, Telegram и Signal, а также предоставляет злоумышленникам практически полный контроль над заражённым устройством через протокол VNC.
Что такое банковский троян Sturnus и чем он опасен
Sturnus относится к классу Android-банкёров — вредоносных программ, ориентированных на кражу денег с банковских счетов и платёжных приложений. В отличие от многих предыдущих семейств, он делает ставку не только на фишинговые оверлеи, но и на полноценное удалённое управление устройством, что существенно усложняет его обнаружение и блокировку.
По данным ThreatFabric, Sturnus сочетает несколько опасных возможностей: перехват экранного содержимого, злоупотребление сервисами доступности (Accessibility Service), получение прав администратора устройства и использование VNC для имитации действий пользователя. Такой набор превращает смартфон жертвы в «открытый терминал» для оператора вредоносного ПО.
Как Sturnus попадает на устройства Android
Заражение обычно начинается с установки вредоносного APK-файла, замаскированного под легитимные приложения. Исследователи выявили, в частности, подделки под Google Chrome (пакет com.klivkfbky.izaybebnx) и приложение Preemix Box (пакет com.uvxuthoq.noscjahae). Визуально такие программы могут выглядеть правдоподобно, что снижает бдительность пользователей.
Точный вектор распространения Sturnus пока не установлен. Эксперты предполагают использование вредоносной рекламы (malvertising), а также рассылку APK-файлов через личные сообщения в мессенджерах и социальные сети — сценарий, который уже давно применяют операторы других Android-банкёров, таких как TeaBot или Anubis.
Сложная система командного управления и шифрования
Sturnus использует многоуровневую схему шифрования, комбинируя открытый текст, RSA и AES. После установки троян подключается к командно‑контрольному серверу (C2), регистрирует новое устройство и настраивает сразу два канала связи с операторами.
Два канала: HTTPS для команд и WebSocket для VNC
Первый канал — это зашифрованный HTTPS‑трафик, применяемый для получения команд управления и эксфильтрации (вывода) данных, включая техническую информацию о девайсе и потенциально конфиденциальные сведения. Второй канал работает поверх WebSocket и дополнительно защищён с помощью AES‑шифрования, обеспечивая передачу данных в режиме реального времени для VNC‑сессий.
Подобная архитектура характерна для современных продвинутых банковских троянов: разделение функциональных каналов усложняет анализ трафика и позволяет гибко управлять нагрузкой на инфраструктуру злоумышленников.
Как Sturnus обходит сквозное шифрование WhatsApp, Telegram и Signal
Ключевая особенность Sturnus — обход сквозного шифрования (E2EE) в мессенджерах. При этом троян не взламывает криптографию и не подменяет ключи шифрования. Вместо этого он действует на уровне устройства: перехватывает уже расшифрованный контент прямо на экране.
Для этого Sturnus злоупотребляет Android Accessibility Service — системой специальных возможностей, предназначенной для помощи людям с ограничениями по зрению или моторике. Получив права на использование сервиса доступности, троян может считывать всё, что отображается на экране, включая контакты, список чатов, входящие и исходящие сообщения, а также уведомления.
Фактически это демонстрирует фундаментальное ограничение сквозного шифрования: если скомпрометирована конечная точка (телефон или ПК), защищать уже нечего. По данным отраслевых отчётов (например, Verizon DBIR), компрометация конечных устройств остаётся одним из ключевых факторов успешных атак, и Sturnus наглядно это подтверждает.
Удалённый контроль через VNC и кража денег с банковских счетов
Получив доступ к устройству, операторы Sturnus запускают VNC‑сессию, которая позволяет им полностью имитировать действия владельца смартфона: нажимать кнопки, вводить текст, скроллить, переключаться между приложениями, открывать настройки и устанавливать дополнительный софт.
В критический момент на экран выводится чёрный оверлей, скрывающий реальные действия от пользователя. Под этой «маской» злоумышленники могут инициировать и подтверждать переводы в банковских приложениях, одобрять запросы многофакторной аутентификации, менять лимиты и настройки безопасности, а также активировать новые устройства или сеансы интернет‑банка.
Отдельно стоит отметить запрос прав администратора устройства. Это позволяет Sturnus усложнить удаление: пока у трояна есть административные привилегии, стандартная деинсталляция и даже удаление через ADB могут быть заблокированы. Пользователю необходимо вручную отозвать права администратора, что многие делают слишком поздно.
Цели Sturnus и география атак
По данным ThreatFabric, основной фокус атак Sturnus — финансовые организации Европы. Троян использует региональные шаблоны оверлеев, адаптированные под интерфейсы локальных банковских и платёжных приложений, что повышает вероятность успешного обмана пользователей.
На текущем этапе активность Sturnus преимущественно зафиксирована в странах Центральной и Южной Европы. Исследователи отмечают относительно небольшой масштаб кампаний и предполагают, что злоумышленники находятся на стадии тестирования инфраструктуры и тактик перед более крупными волнами атак.
Такая стратегия уже применялась в прошлых кампаниях с участием Android‑банкёров: сначала ограниченное пилотирование на отдельных странах и банках, затем быстрое масштабирование при подтверждении эффективности схемы.
Как защититься от банковских троянов на Android
Для снижения риска заражения Sturnus и аналогичными Android‑банкёрами рекомендуется придерживаться следующих практик:
1. Установка приложений только из доверенных источников. Отключите установку из неизвестных источников, избегайте загрузки APK по ссылкам из мессенджеров, SMS и электронной почты, даже если они выглядят «официально».
2. Контроль прав Accessibility и администратора устройства. Регулярно проверяйте список приложений, имеющих доступ к сервисам доступности и админ‑правам. Любое неизвестное или подозрительное приложение с такими привилегиями — серьёзный повод для немедленной проверки.
3. Использование мобильных решений безопасности. Антивирусы и EDR‑решения для Android не гарантируют абсолютной защиты, но значительно повышают шансы вовремя заметить аномалии, включая попытки получения повышенных привилегий и сетевую активность к подозрительным C2‑серверам.
4. Повышение осведомлённости пользователей. Для корпоративных сред критично проводить обучение сотрудников: разбор типичных признаков мобильных фишинговых атак, демонстрация примеров вредоносных APK и объяснение рисков предоставления прав Accessibility незнакомым приложениям.
По мере эволюции мобильного банкинга интерес к нему со стороны киберпреступников будет только расти. Появление Sturnus показывает, что современные банковские трояны для Android уже фактически сочетают функции трояна, шпиона и удалённого администратора. Пользователям и организациям важно не ограничиваться доверием к сквозному шифрованию мессенджеров, а выстраивать комплексную защиту конечных устройств — от политики установки приложений до технических средств обнаружения и реагирования на инциденты.
