Un nuevo malware para Android, aún en fase de desarrollo, pero ya plenamente funcional, está poniendo en alerta a la industria de la ciberseguridad. Su nombre es Sturnus y, según un informe publicado por ThreatFabric, se trata de un troyano bancario multiamenaza con capacidades avanzadas que lo sitúan entre las familias de malware más peligrosas actualmente en circulación. Su mayor hito, y quizá su característica más inquietante, es su habilidad para leer mensajes de plataformas cifradas como Signal, WhatsApp o Telegram justo después del proceso de descifrado en el dispositivo. Esto le permite saltarse por completo los sistemas de cifrado de extremo a extremo y acceder al contenido que, en teoría, debería permanecer privado incluso para los proveedores de servicio.

Pero el robo de comunicaciones no es su única función. Sturnus también puede tomar el control total del dispositivo, capturar credenciales bancarias mediante superposiciones HTML, iniciar sesiones VNC en tiempo real, manipular accesos, cambiar ajustes del sistema o impedir su propia desinstalación. Un verdadero «cuchillo suizo» del malware móvil que apunta, por ahora, a víctimas ubicadas principalmente en el sur y centro de Europa.

Un malware en construcción… pero ya muy peligroso

Aunque Sturnus no está siendo distribuido de forma masiva, su nivel de madurez técnica demuestra que estamos ante un desarrollo especialmente ambicioso. ThreatFabric ha detectado su actividad en volúmenes bajos, lo que sugiere que sus operadores están probando el malware antes de lanzarlo en campañas a gran escala. Aun así, la infraestructura, la arquitectura modular y la variedad de funciones avanzadas lo posicionan como uno de los candidatos más peligrosos en el futuro inmediato.

A diferencia de otros troyanos bancarios, que dependen casi por completo de técnicas tradicionales como las superposiciones falsas, Sturnus emplea una combinación de comunicación en texto plano, RSA y AES cifrado para hablar con su servidor de comando y control (C2). Esta mezcla ofrece flexibilidad a los atacantes, que pueden elegir la forma de comunicación más adecuada según el tipo de operación.

El vector de ataque: apps falsas que imitan a Chrome

Los analistas de ThreatFabric explican que las infecciones detectadas comienzan cuando la víctima instala un APK malicioso disfrazado de apps legítimas, como Google Chrome o una aplicación llamada Preemix Box.

Lo más preocupante es que, a día de hoy, no está claro cómo llegan estas aplicaciones falsas a los usuarios. Aunque no hay certeza absoluta, los investigadores sospechan de dos vías probables: Campañas de malvertising y mensajes directos enviados por los propios atacantes (SMS, correo, mensajería)

Una vez instalada, la aplicación establece conexión con el servidor C2 y realiza un intercambio criptográfico para registrar al nuevo dispositivo infectado. A partir de ese momento, Sturnus despliega todo su arsenal.

Cómo roba mensajes de WhatsApp, Telegram y Signal

Muchos de los comportamientos de Sturnus serían imposibles sin acceder a uno de los puntos más sensibles de Android: el servicio de Accesibilidad (Accessibility Service). Al obtener permisos sobre este servicio, el malware puede literalmente ver lo mismo que ve el usuario en la pantalla, además de leer texto, identificar elementos de interfaz, scroll o detectar qué aplicación está activa.

ThreatFabric explica que Sturnus es capaz de:

  • Detectar cuándo la víctima abre WhatsApp, Telegram o Signal

  • Leer todos los textos mostrados en pantalla

  • Capturar contenido descifrado en tiempo real

  • Acceder a nombres de contactos, hilos de conversación y mensajes enviados o recibidos

Esto significa que no necesita romper el cifrado: simplemente accede a los mensajes después de que la propia aplicación los haya descifrado en el dispositivo.

Control remoto completo mediante VNC

Otro de los elementos que diferencian a Sturnus de otros troyanos es su módulo VNC en tiempo real, basado también en los permisos de accesibilidad.

Este módulo establece una conexión segura mediante un canal WebSocket cifrado con AES y permite al atacante: Pulsar botones, escribir texto, navegar entre aplicaciones, desplazarse por menús, confirmar transacciones o cambiar ajustes facilmente dentro del dispositivo.

Además, cuando quieren realizar acciones invisibles para la víctima, los atacantes muestran una superposición negra o incluso pantallas falsas como la de una supuesta Actualización del sistema Android. Mientras el usuario cree que el móvil está ocupado o actualizándose, el atacante puede mover dinero, aprobar MFA, instalar apps adicionales o modificar configuraciones críticas.

 

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre