Как киберпреступники обходят сквозное шифрование в

Home Как киберпреступники обходят сквозное шифрование в
Sturnus

Как киберпреступники обходят сквозное шифрование в WhatsApp, Signal и Telegram: угроза банковского трояна Sturnus

Сквозное шифрование (E2EE) давно стало золотым стандартом для защищённых мессенджеров. WhatsApp, Signal и Telegram обещают пользователям абсолютную конфиденциальность — и с помощью криптографии действительно обеспечивают защиту сообщений во время передачи.

Но именно в этом и скрывается уязвимость. Шифрование защищает данные только пока они путешествуют между устройствами. Как только сообщение расшифровывается на телефоне получателя, оно существует в виде обычного текста — и становится доступным тому, кто контролирует устройство.

Современные киберпреступники научились использовать это окно возможностей. Новый банковский троян Sturnus показывает, что можно полностью обойти защиту E2EE, не взламывая алгоритмы шифрования, а атакуя самую слабую точку — смартфон пользователя.

И это ставит под сомнение фундаментальные представления о безопасности современных мессенджеров.

Сквозное шифрование: мощное, но не всесильное

При корректной реализации E2EE гарантирует, что содержимое сообщений видят только отправитель и получатель. Даже провайдер сервиса не может их расшифровать.

Но важный нюанс:

➡️ Шифрование защищает данные только «в пути»
➡️ После расшифровки на устройстве сообщение становится обычным текстом

И именно этот момент становится уязвимостью, которой пользуются вредоносные программы.

Sturnus: новое поколение Android-троянов

Исследователи ThreatFabric обнаружили новый высокотехнологичный банковский троян Sturnus, названный по ассоциации со скворцом — из-за похожей структуры «переклички» команд и сигналов.

Несмотря на то что его основная цель — финансовые данные, самыми опасными оказались его функции по перехвату сообщений из WhatsApp, Signal и Telegram.

Ключевой механизм работы — злоупотребление системой Android Accessibility Service, созданной для помощи пользователям с ограниченными возможностями. Когда эта функция используется вредоносным ПО, она превращается в универсальный канал наблюдения за устройством.

Пока троян применяется точечно в странах Южной и Центральной Европы, его технологичность говорит о серьёзных инвестициях и возможном ближайшем массовом распространении.

Как Sturnus обходил сквозное шифрование

Троян вовсе не пытается взломать сами алгоритмы шифрования — это практически невозможно с учётом современных технологий. Вместо этого он терпеливо ждёт, пока приложение само расшифрует сообщение для пользователя.

Дальше всё просто:

  1. Пользователь открывает WhatsApp / Telegram / Signal.
  2. Троян определяет, что запущено нужное приложение.
  3. Через Accessibility Service он читает всё, что появляется на экране.
  4. Он собирает текст чатов, имена контактов, историю переписки, входящие и исходящие сообщения.

Пользователь не замечает угрозы:
🔒 иконки безопасности на месте
🛡️ приложение показывает отметки E2EE
📱 интерфейс работает как обычно

Единственное, что изменилось — устройство стало «прозрачным» для злоумышленника.

Технически эта атака основана на сборе UI-дерева — подробной структуры элементов интерфейса, которую Accessibility Service предоставляет приложению. Sturnus анализирует это дерево и извлекает текст, как если бы читал экран глазами.

В итоге: криптография работает идеально, но всё равно проигрывает, потому что у злоумышленника есть доступ после расшифровки.

Возможности Sturnus выходят далеко за рамки перехвата сообщений

Троян — не просто «шпион» для мессенджеров. Он обладает широким функционалом полного захвата устройства:

1. Кража банковских данных

Он использует фишинговые накладки, копирующие интерфейсы реальных банковских приложений.
Когда жертва вводит логин/пароль — данные уходят злоумышленнику.

2. Полный контроль над устройством

Оператор трояна может:

  • делать скриншоты
  • вводить текст
  • наблюдать за экраном в реальном времени
  • скрывать происходящее от пользователя
  • выполнять операции в банковских приложениях

3. Сложные схемы шифрования для связи с C2-серверами

Троян активно меняет способы шифрования (RSA, AES, открытый текст), чтобы избежать обнаружения.

4. Многоступенчатая цепочка инициализации

Sturnus:

  • отправляет POST-запрос на регистрацию
  • получает UUID и публичный RSA-ключ
  • генерирует AES-ключ
  • шифрует его RSA и передаёт на сервер
  • затем использует AES для основной коммуникации

Это решения уровня корпоративного вредоносного ПО, а не «домашних» вирусописателей.

Как происходит заражение

С большой вероятностью Sturnus распространяется через:

  • поддельные приложения под видом легитимных
  • сторонние магазины приложений
  • фишинговые сайты
  • вредоносные вложения
  • взломанные приложения в результате атаки на цепочку поставок

После установки троян сразу запрашивает критичные разрешения, включая Accessibility Service — и пользователи часто одобряют их, не понимая последствий.

Почему это угроза для всех, кто использует зашифрованные мессенджеры

Sturnus демонстрирует фундаментальную проблему:

Сквозное шифрование не может защитить данные, если само устройство скомпрометировано.

Любая организация и любой человек, использующий WhatsApp/Signal/Telegram для:

  • рабочих переговоров
  • юридически значимой информации
  • финансовых транзакций
  • личной переписки

— фактически остаются без защиты, если устройство заражено.

Для преступников это идеальный инструмент:

  • корпоративный шпионаж
  • финансовые атаки
  • социальная инженерия
  • манипуляции на основе контекста переписки

Как защититься: реальные меры, которые работают

1. Устанавливайте приложения только из официальных магазинов

И запрещайте установку из неизвестных источников.

2. Контролируйте разрешения

Особенно опасные:

  • Accessibility Service
  • Screen overlay
  • Notification access

3. Используйте MDM / Mobile Threat Defense в компаниях

Они могут:

  • ограничить разрешения
  • запретить неизвестные приложения
  • обнаруживать трояны по поведению

4. Всегда включайте двухфакторную аутентификацию

Даже если троян перехватил сообщение, он не сможет войти с другого устройства.

5. Используйте антивирусы и системы мониторинга поведения

Сложные трояны часто проявляют себя не сетью, а действиями.

6. Разрабатывайте планы реагирования

При заражении:

  • изолировать устройство
  • менять все пароли
  • проверять банковские операции
  • восстанавливать данные из офлайн-резервных копий

Будущее угроз: куда движутся киберпреступники

Sturnus — лишь начало. Тренды показывают:

  • рост интереса к перехвату E2EE-сообщений
  • больше троянов, работающих через Accessibility
  • развитие шпионских функций: аудио, видео, скриншоты
  • превращение подобных программ в сервисы (Malware-as-a-Service)

Это означает: атаки будут дешевле, массовее и доступнее для рядовых преступных группировок.

Заключение: шифрование больше не спасает устройство, если само устройство — уязвимо

Sturnus заставляет признать:
шифрование решает только половину проблемы безопасности.

Вторая половина — защита смартфона.

Только комбинация:

  • криптографии
  • защиты устройств
  • контроля разрешений
  • мониторинга поведения
  • грамотных планов реагирования

может обеспечить нормальный уровень безопасности в современных условиях.

О компании SecurityLab.Pro: Мы предоставляем комплексные решения кибербезопасности, защищающие организации и частных лиц от заражения вредоносным ПО, банковских троянов и угроз мобильной безопасности. Наши эксперты по безопасности предлагают анализ вредоносного ПО, threat intelligence, оценки безопасности веб приложений и услуги реагирования на инциденты, адаптированные к развивающимся ландшафтам угроз. Свяжитесь с нами, чтобы обсудить усиление вашей позиции мобильной безопасности против угроз, обходящих защиту зашифрованных сообщений через сложные техники компрометации устройств.