Дослідники ThreatFabric повідомили про виявлення нового банківського трояна для Android під назвою Sturnus. Це шкідливе ПЗ поєднує функції класичного Android-банкера та повноцінного інструмента віддаленого адміністрування (RAT): перехоплює вміст переписок у WhatsApp, Telegram і Signal та надає кіберзлочинцям майже повний контроль над зараженим пристроєм через протокол VNC.
Що таке Sturnus і чому цей Android-банкер особливо небезпечний
Sturnus належить до класу банківських троянів для Android, основна мета яких — крадіжка коштів із рахунків користувачів та компрометація платіжних застосунків. Від багатьох попередніх сімейств оновлений троян відрізняється акцентом на віддалене керування смартфоном у реальному часі, а не лише на підміні екранів (оверлеях) мобільного банкінгу.
За даними ThreatFabric, Sturnus реалізує кілька критичних можливостей: захоплення вмісту екрана, зловживання сервісами доступності Android (Accessibility Service), отримання прав адміністратора пристрою і використання VNC для емуляції дій користувача. У результаті смартфон жертви фактично перетворюється на «відкритий термінал», з якого оператор трояна може працювати так, ніби тримає його в руках.
Як Sturnus потрапляє на смартфони Android
Інфікування починається зі встановлення шкідливого APK-файла, замаскованого під легітимний застосунок. Дослідники виявили, зокрема, підробки під Google Chrome (пакет com.klivkfbky.izaybebnx) та застосунок Preemix Box (пакет com.uvxuthoq.noscjahae). Інтерфейс таких програм може виглядати доволі переконливо, що знижує настороженість користувачів.
Точні канали розповсюдження Sturnus поки не задокументовано, однак аналітики припускають використання malvertising-кампаній (шкідлива реклама) та розсилання APK-файлів у приватних повідомленнях месенджерів і соцмереж. Аналогічну тактику вже неодноразово застосовували оператори інших Android-банкерів, таких як TeaBot чи Anubis.
Командно-контрольна інфраструктура та багаторівневе шифрування
Для стійкого керування інфікованими пристроями Sturnus використовує складну схему шифрування, поєднуючи відкритий текст, RSA та AES. Після запуску троян реєструє пристрій на командно-контрольному сервері (C2) і налаштовує два окремих канали зв’язку з операторами.
HTTPS для команд і WebSocket + AES для VNC-сесій
Перший канал — це HTTPS-з’єднання, яке застосовується для отримання команд від C2 та передавання даних про пристрій, включно з технічною інформацією й потенційно конфіденційними відомостями. Другий канал побудований на базі WebSocket та додатково шифрується за допомогою AES, забезпечуючи потокову передачу даних для VNC-сесій у режимі реального часу.
Подібна розділена архітектура характерна для сучасних розвинених Android-банкерів: ізоляція каналів для команд і для інтерактивного керування ускладнює мережевий аналіз, а також дає змогу гнучко масштабувати інфраструктуру атак.
Як Sturnus обходить скрізне шифрування WhatsApp, Telegram і Signal
Ключова особливість Sturnus — можливість обійти скрізне шифрування (E2EE) у популярних месенджерах без злому криптографічних алгоритмів. Троян працює на рівні кінцевої точки: він фіксує вже розшифрований вміст безпосередньо на екрані пристрою.
Для цього Sturnus зловживає Android Accessibility Service — механізмом спеціальних можливостей, призначеним для допомоги користувачам з порушеннями зору або моторики. Отримавши відповідні дозволи, троян може зчитувати все, що відображається на екрані: списки чатів, контактів, текст вхідних та вихідних повідомлень і вміст сповіщень.
Це наочно демонструє фундаментальне обмеження скрізного шифрування: якщо компрометовано кінцевий пристрій, то навіть найсильніше шифрування не захищає від витоку вже розшифрованих даних. Багаторічні звіти на кшталт Verizon DBIR підтверджують, що злам саме кінцевих точок залишається одним із головних чинників успішних кібератак.
VNC-доступ, чорний оверлей і крадіжка грошей з мобільного банкінгу
Після отримання необхідних дозволів оператори Sturnus ініціюють VNC-сесію, яка надає їм можливість повністю керувати смартфоном: натискати кнопки, вводити дані, запускати або закривати застосунки, переходити в налаштування, встановлювати додаткове шкідливе ПЗ.
У критичний момент на екрані користувача з’являється чорний оверлей, що приховує реальні дії від власника пристрою. Під цим «ширмою» зловмисники можуть виконувати операції в мобільних банківських застосунках: ініціювати й підтверджувати перекази, змінювати ліміти, налаштування безпеки, авторизовувати нові пристрої чи веб-сесії інтернет-банкінгу.
Окремо варто виділити запит на права адміністратора пристрою (Device Admin). За їх наявності троян значно складніше видалити: стандартна деінсталяція може блокуватися, як і спроби видалення через ADB. Користувачеві доводиться спершу вручну відкликати адмін-права, що часто відбувається надто пізно.
Мішені Sturnus та географія атак
Згідно з ThreatFabric, основною ціллю операторів Sturnus є фінансові установи Європи. Троян використовує регіональні шаблони оверлеїв, адаптовані до інтерфейсів місцевих мобільних банків і платіжних сервісів, що підвищує ймовірність успішного обману користувачів.
Наразі більшість виявлених інцидентів припадає на країни Центральної та Південної Європи. Масштаби кампаній поки що відносно невеликі, тому експерти припускають фазу «пілотного» тестування інфраструктури й тактик перед потенційним розгортанням більш масштабних атак — підхід, добре знайомий за іншими Android-банкерами.
Як захистити Android-пристрої від банківських троянів на кшталт Sturnus
Щоб знизити ризик інфікування Sturnus та подібними банківськими троянами для Android, доцільно дотримуватися кількох базових, але критично важливих практик кібербезпеки:
1. Встановлюйте застосунки лише з офіційних джерел. Відключіть інсталяцію з «невідомих джерел», не завантажуйте APK-файли за посиланнями з месенджерів, SMS або пошти, навіть якщо вони виглядають офіційними чи «терміновими».
2. Регулярно перевіряйте права Accessibility та Device Admin. Переглядайте список програм, які мають доступ до сервісів доступності й прав адміністратора. Будь-який невідомий або підозрілий застосунок із такими дозволами — вагомий привід для негайної перевірки та видалення.
3. Використовуйте рішення мобільної безпеки. Антивірусні продукти та EDR-рішення для Android не забезпечують стовідсоткового захисту, але значно підвищують шанси вчасно виявити аномальні дії: спроби отримання розширених прав, підозрілу мережеву активність, звернення до C2-серверів.
4. Підвищуйте обізнаність користувачів. В організаціях важливо проводити тренінги щодо мобільної безпеки: розбирати ознаки фішингових атак, показувати приклади шкідливих APK, пояснювати ризики надання доступу до Accessibility невідомим застосункам.
Мобільний банкінг стає дедалі привабливішою мішенню для кіберзлочинців, а такі загрози, як Sturnus, демонструють, що сучасні Android-банкери вже поєднують функції трояна, шпигуна та інструмента віддаленого адміністрування. Щоб зберегти контроль над власними фінансами та даними, користувачам і компаніям варто зосередитися не лише на шифруванні месенджерів, а й на комплексному захисті кінцевих пристроїв — від політик установлення застосунків до впровадження технічних засобів виявлення та оперативного реагування на інциденти.
