Нов Android троян за банкови услуги

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Нов Android троян на име Sturnus представлява сериозна заплаха, като може да засича комуникации от приложения с end-to-end криптиране като Signal, WhatsApp и Telegram, и да поеме пълен контрол над устройството.

  • Троянът е все още в процес на разработка, но вече е пълнофункционален.

  • Насочен е към банкови акаунти в Европа, използвайки регионално специфични overlay шаблони.

  • Комуникацията с командния сървър (C2) използва комбинация от plaintext, RSA и AES криптиране.

Пълен контрол над устройството

Според доклад на ThreatFabric, Sturnus може да:

  • Краде съобщения от защитени приложения чрез достъп до съдържанието на екрана след дешифриране.

  • Краде банкови данни чрез HTML overlay екрани.

  • Поддържа реално време дистанционно управление чрез VNC сесия.

Инфекцията започва чрез APK файлове, маскирани като легитимни приложения като Google Chrome или Preemix Box.

След инсталация троянът:

  • Свързва се с C2 инфраструктурата чрез криптографски обмен.

  • Създава HTTPS канал за командване и източване на данни и AES-криптиран WebSocket канал за VNC операции.

  • Използва Accessibility Services, за да наблюдава и взаимодейства с интерфейса, включително въвеждане на текст, натискане на бутони и скролиране.

  • Получава Android Device Administrator права, блокирайки опити за премахване или деинсталиране.

Заобикаляне на криптирането

Sturnus е особено опасен, защото заобикаля end-to-end криптиране:

  • Чете съобщения след като са дешифрирани от легитимното приложение.

  • Събира пълни разговори, имена на контакти и съдържание на съобщения в реално време.

С VNC режим, нападателите могат да извършват скрити действия като:

  • Преводи на пари от банкови приложения

  • Потвърждаване на диалози и многофакторна автентикация

  • Смяна на настройки или инсталиране на нови приложения

За прикриване на злонамерената активност се използват фалшиви overlay екрани, например за Android системна актуализация.

Текущо разпространение и препоръки

  • Sturnus се наблюдава в Южна и Централна Европа, главно за тестови цели.

  • Въпреки това архитектурата му е готова за мащабиране, което го прави потенциално опасен в големи кампании.

Препоръки за потребителите:

  • Избягвайте изтегляне на APK файлове извън Google Play.

  • Поддържайте Play Protect активен.

  • Не предоставяйте Accessibility права, освен ако е абсолютно необходимо.

#Android троян, # E2E криптиране, # Signal, # Sturnus, # Telegram, # ThreatFabric, # VNC, # WhatsApp, # банков malware, # мобилна сигурност
e-security.bg

Подобни

Критичен пробив в Sneeit Framework и нов DDoS ботнет
9.12.2025
malware
MuddyWater с нова кампания
9.12.2025
Iran-fingerprint
Разкрита е 14-годишна индонезийска кибероперация
9.12.2025
flag-2526462_640
Shanya: новият packer-as-a-service, който обезоръжава EDR системите
9.12.2025
men-4820716_640
Brickstorm: нова държавно-спонсорирана заплаха за критична инфраструктура
9.12.2025
industry-5742161_640
Разкриxа инфраструктурата на LockBit 5.0
8.12.2025
Stop - Ransomware - neon colors

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Черният петък - реални сделки или маркетингов мираж?
27.11.2025
black_cat_Saro_o_Neal_Alamy

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.