Затемнённый экран и фальшивые окна Android: новый вирус тихо подтверждает операции вместо владельца смартфона

Новый вредонос для Android оказался куда опаснее, чем ожидали исследователи: по данным ThreatFabric, троян Sturnus, который ещё даже не вышел из ранней стадии разработки, уже умеет перехватывать переписку в популярных мессенджерах и незаметно брать под контроль весь смартфон. Его возможности угрозы для пользователей значительно шире, чем у многих известных программ-шпионов, а механизмы маскировки делают обнаружение особенно сложным.

Как работает Sturnus и почему он так опасен

Основной функционал трояна построен на использовании системных сервисов Accessibility. Эти инструменты изначально предназначены для помощи людям с особыми потребностями, однако злоумышленники давно научились применять их для считывания содержимого экрана. Именно так Sturnus получает доступ к сообщениям уже после расшифровки — в Signal, WhatsApp и Telegram. Сквозное шифрование в этом случае не спасает: троян считывает то, что видит пользователь.

Параллельно вредонос использует HTML-оверлеи. Это поддельные интерфейсы, которые появляются поверх настоящих экранов и могут имитировать банковские формы, сервисы онлайн-кошельков или системные уведомления. Таким образом троян собирает данные карт, логины, коды подтверждения и любую другую конфиденциальную информацию. Дополняет картину удалённый контроль через VNC — фактически злоумышленники получают "виртуальные руки", способные управлять интерфейсом смартфона.

Что нашли исследователи ThreatFabric

После установки Sturnus сразу устанавливает связь с управляющим сервером, проводит криптографическую регистрацию и формирует два канала коммуникации:
• защищённый HTTPS для команд и отправки украденных данных;
• отдельный WebSocket-канал с AES-шифрованием, позволяющий управлять устройством в реальном времени, включая просмотр экрана.

Троян маскируется под Google Chrome или Preemix Box, что усложняет визуальное обнаружение. Способ его доставки пока не раскрыт, но подобные программы часто распространяются через фальшивые обновления, сторонние магазины приложений или заражённые сайты.

Сравнение возможностей Sturnus с типичными троянами

Советы шаг за шагом: как снизить риск заражения

1. Использовать официальные магазины приложений, избегать APK-файлов из неизвестных источников.

2. Отключить у приложений неочевидные разрешения, особенно доступ к Accessibility.

3. Проверять фактические названия пакетов: подмена под Chrome часто видна по нетипичным параметрам.

4. Установить антивирус, поддерживающий анализ наложенных окон и поведенческое обнаружение.

5. Не подтверждать появление "обновлений Android" вне системного интерфейса обновления.

6. Регулярно проверять список приложений с правами администратора устройства.

Эти меры сопоставимы с рекомендациями экспертов по мобильной безопасности и помогают защититься от подобных угроз, ориентированных на перехват данных и финансовые атаки.

Ошибка → Последствие → Альтернатива

• Ошибка: выдавать приложению доступ к Accessibility без проверки.
→ Последствие: троян получает доступ к экрану и сообщениям.
→ Альтернатива: предоставлять разрешение только хорошо известным приложениям — например, сервисам для людей с ограниченными возможностями, а не браузерам или инструментам оптимизации.

• Ошибка: установка ПО "обновления системы" из сторонних источников.
→ Последствие: троян получает администраторские права.
→ Альтернатива: использовать только встроенный раздел обновления Android.

• Ошибка: попытка удаления Sturnus обычными методами.
→ Последствие: смартфон может блокироваться или игнорировать попытки деинсталляции.
→ Альтернатива: сначала вручную отозвать права администратора, затем удалить приложение через безопасный режим.

А что если троян уже активен?

Если вредонос получил возможность мониторить экран, он может фиксировать ввод, перехватывать SMS, одноразовые PIN-коды и даже подтверждать банковские операции под "маской" затемнённого экрана. В этом случае единственным безопасным вариантом может оказаться полный сброс устройства.

Плюсы и минусы механизмов Accessibility в Android

FAQ

Как понять, что смартфон заражён?
Могут появляться затемнения экрана, ложные окна, запросы на дополнительные разрешения, самопроизвольные действия в интерфейсе.

Сколько стоит профессиональная проверка устройства?
В сервисных центрах диагностика смартфона на наличие вредоносных программ может стоить от 20 до 60 евро, в зависимости от региона.

Что лучше: антивирус или встроенная защита Android?
Лучший вариант — сочетание встроенных механизмов Google Play Protect и отдельного антивируса, который отслеживает поведенческие аномалии и подмену окон.

Мифы и правда

• Миф: если мессенджер использует сквозное шифрование, шпионаж невозможен.
Правда: вредоносы считывают уже расшифрованный текст прямо с экрана.

• Миф: трояны для Android легко удалить.
Правда: программы вроде Sturnus блокируют деинсталляцию, получив права администратора.

• Миф: вредонос виден в списке приложений.
Правда: маскировка под известные сервисы делает его почти незаметным.

Сон и психология

Постоянный страх утечки данных и контроль неизвестного злоумышленника могут вызвать тревожность, проблемы со сном и ощущение потери личного пространства. Специалисты советуют минимизировать потребление новостей о кибератаках перед сном и соблюдать цифровую гигиену, чтобы чувствовать контроль над ситуацией.

Три факта о троянах нового поколения

1. Многие современные шпионы используют VNC, что позволяет управлять смартфоном так же, как удалённым компьютером.

2. HTML-оверлеи стали одним из главных инструментов банковских мошенников: визуально отличить подделку от настоящего окна все труднее.

3. Маскировка под популярные приложения снижает бдительность пользователя, что повышает вероятность заражения.

Исторический контекст: как развивались мобильные угрозы

Первыми массовыми вредоносами для смартфонов были простые SMS-трояны. Затем появились программы для кражи данных банковских карт, позже — шпионы и "мобильные банковские боты". Сегодня угрозы вроде Sturnus совмещают функции кейлоггера, средства удалённого управления, инструмента подмены интерфейсов и системы для обхода защиты, превращаясь в универсальный комплекс для киберпреступников.