Sturnus может перехватывать сообщения от Signal, *WhatsApp и Telegram после их расшифровки с помощью специальных возможностей системы для чтения содержимого экрана в обход сквозного шифрования.

Троянец использует HTML-оверлеи для кражи банковских данных и поддерживает удалённое управление через VNC. Вредонос маскируется под Google Chrome или Preemix Box и распространяется неизвестным способом. После установки Sturnus регистрируется на командном сервере, устанавливая защищенные HTTPS и AES каналы WebSocket для передачи команд и данных, а также доступ к VNC. Получив права администратора устройства, он может отслеживать изменения пароля, блокировать устройство и предотвращать удаление, что затрудняет удаление без ручного отзыва действий.

Когда пользователи открывают WhatsApp, Telegram или Signal, Sturnus получает доступ к сообщениям, набранному тексту, именам контактов и переписке в режиме реального времени, компрометируя даже чаты, защищённые сквозным зашифрованием.

ThreatFabric продемонстрировал поддельное окно «Обновления системы Android», чтобы скрыть активность Sturnus. Несмотря на то, что до сих пор он использовался ограниченно, его архитектура и функциональность соответствуют передовым троянским программам для Android, что предполагает потенциал для более широкого внедрения.

* принадлежит компании Meta, которая признана экстремистской, её деятельность запрещена на территории России.