Если вы оплачиваете коммуналку со смартфона, переводите деньги друзьям и проверяете баланс прямо в приложении банка, у этого текста для вас есть одно новое и неприятное слово: Sturnus. Так называется свежий банковский троян для Android, который специалисты MTI Security и ThreatFabric уже относят к особенно опасным. Он совмещает классические финтех-мошенничества с возможностью подглядывать за вашим экраном и перехватывать конфиденциальные данные практически в реальном времени.
Главный ужас Sturnus в том, что он не пытается «взломать» современное шифрование. Вместо этого троян действует проще и хитрее: ждёт, пока зашифрованные сообщения или банковский интерфейс появятся у вас на дисплее, и спокойно записывает то, что вы видите. Для приложений вроде WhatsApp, Signal или Telegram это выглядит как обычная работа: сообщение расшифровывается и выводится на экран. Для Sturnus это момент истины — он захватывает картинку и отправляет её злоумышленникам.
То же самое касается мобильного банкинга. Троян может выводить поддельные, но очень правдоподобные окна авторизации, практически неотличимые от вашего настоящего банковского приложения. Пользователь уверен, что вводит логин, пароль и одноразовый код в родной интерфейс банка, а на деле аккуратно отдаёт эти данные преступникам. Дальше схема классическая: мошенники пытаются зайти в аккаунт, перевести деньги на подставные счета или использовать карту для онлайн-покупок.
Исследователи отмечают, что Sturnus способен практически полностью захватывать управление устройством. У него есть инструменты для отслеживания действий пользователя, ввода текста, удалённого нажатия кнопок и имитации жестов. В теории злоумышленник может сам открыть ваше банковское приложение, инициировать перевод, подтвердить его и даже временно «погасить» экран, чтобы вы решили, что телефон просто завис. Пока вы перезагружаете смартфон, деньги уже могут оказаться далеко от вашего счёта.
Есть, впрочем, и немного хороших новостей. Судя по наблюдениям ThreatFabric, Sturnus пока находится в активной стадии разработки и тестируется в ограниченных кампaniaх — в основном на пользователях из стран Южной и Центральной Европы. Массовой волны заражений ещё нет, но по поведению операторов видно: они шлифуют свой инструмент и готовятся расширять географию атак, как только будут уверены в стабильности и эффективности трояна.
Для экосистемы Android раннее обнаружение таких семейств вредоносного ПО критически важно. Как только новый троян описан и классифицирован, его сигнатуры попадают в базы данных, а Google Play Protect, антивирусы и сами банки могут подстроить свои фильтры и механизмы защиты. Осознание того, что Sturnus уже существует, даёт защитникам фору, но не отменяет человеческий фактор — привычку игнорировать предупреждения и устанавливать «что-нибудь, лишь бы работало».
Как и большинство серьёзных угроз на Android, Sturnus появляется не в виде приложения с красной иконкой «Я вирус» в Google Play. Гораздо чаще он маскируется под «полезный» софт, распространяется через сторонние APK-файлы, фейковые обновления, взломанные приложения с форумов, вредоносную рекламу или ссылки в письмах и мессенджерах. Стоит один раз нажать «Установить» и выдать слишком широкие разрешения — и троян получает всё, что ему нужно.
Поэтому первая линия защиты — скучная, но рабочая гигиена. Устанавливайте приложения только из Google Play или действительно проверенных источников. Если сайт внезапно предлагает вам «специальный плеер», «новый браузер» или «ускоритель для банка», чтобы продолжить, это почти всегда повод закрыть вкладку. Отключённая по умолчанию установка из неизвестных источников — не прихоть Google, а базовый барьер для троянов вроде Sturnus.
Не менее важно следить за тем, какие права уже выданы установленным программам. Периодически заглядывайте в настройки и проверяйте, кто имеет доступ к службе специальных возможностей, кто может читать уведомления, рисовать поверх других окон или записывать экран. Если видите сомнительное приложение с чрезмерными полномочиями — особенно если сами не помните, зачем его ставили, — смело удаляйте. Именно через такие привилегии Sturnus и его «родственники» подсовывают фейковые окна входа и подглядывают за вашими действиями.
Отдельный уровень защиты — сильная аутентификация. Обязательно включите двухфакторную авторизацию в банковских приложениях и для Google-аккаунта. Лучше использовать не SMS, а приложение-генератор кодов или аппаратный ключ, если он у вас есть. Пароль можно случайно ввести в поддельную форму, но без второго фактора злоумышленнику будет гораздо сложнее пройти дальше. Плюс многие банки и так отслеживают подозрительную активность и могут блокировать странные операции, если вы быстро реагируете на уведомления.
Не забывайте и про обновления системы. Да, всплывающие уведомления об апдейтах раздражают, но именно в них часто прячутся закрытые уязвимости, с помощью которых вредоносное ПО получает дополнительные права. Устанавливайте актуальные патчи безопасности, держите в тонусе Play Protect и самые критичные приложения. И, конечно, не нажимайте на странные ссылки из SMS, писем и чатов, даже если там написано «срочно» или «ваш банк». Одно неосторожное касание вполне может открыть Sturnus и ему подобным дорогу в ваш кошелёк.
Многим пользователям новость о ещё одном банковском трояне уже кажется чем-то из серии «каждую неделю новый вирус, надоело слушать». Усталость от информационного шума понятна. Но именно на этом и играют злоумышленники: пока мы машем рукой и думаем, что очередная страшилка «не про нас», они аккуратно собирают тех, кто устал быть внимательным. Цель не в том, чтобы жить в страхе перед собственным смартфоном, а в том, чтобы относиться к нему как к кошельку или ключам от квартиры — с элементарной осторожностью.
История Sturnus наглядно показывает: проблема не в том, что сломали шифрование, а в том, что атакуют точку соприкосновения человека и технологии — ваш экран и ваши привычки. Преступникам проще заставить пользователя самоуверенно ввести пароль не туда, чем воевать с криптографией. Зато это даёт и нам преимущество: если вы внимательно относитесь к тому, что устанавливаете, не гоняетесь за «взломанными» приложениями, держите систему в актуальном состоянии и защищаете важные аккаунты 2FA, вы становитесь гораздо менее привлекательной целью.
Sturnus, скорее всего, ещё не раз появится в отчётах исследователей и заголовках новостей. Но превращать каждую услышавшуюся о нём историю в повод для паники не стоит. Достаточно один раз навести порядок в разрешениях, обновлениях и способах входа в банк, а дальше просто не расслабляться до состояния «мне всё равно». Тогда ваш Android останется тем, чем он и должен быть, — удобным инструментом, а не окном, в которое кто-то незаметно подглядывает в ваш банковский кабинет.