(https://i.imgur.com/vciyveW.jpeg)
Investigadores en ciberseguridad han identificado un nuevo troyano bancario para Android denominado Sturnus, una amenaza avanzada diseñada para robar credenciales bancarias, espiar comunicaciones cifradas y tomar control remoto del dispositivo de la víctima con fines de fraude financiero.
Según un informe de la empresa ThreatFabric, este malware se encuentra en fase de evaluación, pero ya muestra capacidades altamente sofisticadas que lo convierten en una de las amenazas móviles más peligrosas emergentes.
A diferencia de otros malware bancarios conocidos para Android, Sturnus incorpora un enfoque híbrido de espionaje, control remoto y robo de credenciales, con técnicas que le permiten evadir la mensajería cifrada, suplantar aplicaciones legítimas y bloquear los intentos de desinstalación.
¿Qué es Sturnus y por qué es diferente?Sturnus es un troyano bancario de nueva generación orientado a objetivos financieros en países del sur y centro de Europa, aunque su arquitectura podría adaptarse fácilmente a otros mercados.
Su nombre hace referencia al estornino europeo (Sturnus vulgaris), un ave conocida por su capacidad de imitar sonidos. Esta analogía no es casual:
el malware combina distintos protocolos y técnicas de comunicación, utilizando texto plano, cifrado AES y cifrado RSA, lo que lo hace más difícil de analizar y bloquear.
ThreatFabric señala que uno de sus principales diferenciadores es su capacidad para eludir la protección de la mensajería cifrada. En lugar de romper el cifrado, el troyano:
CitarCaptura los datos directamente desde la pantalla del dispositivo después de que han sido descifrados por las aplicaciones de mensajería.
Esto le permite espiar conversaciones en plataformas como WhatsApp, Telegram y Signal, incluso cuando el contenido está protegido con cifrado de extremo a extremo.
Cómo se distribuye este troyano bancarioSturnus se disfraza como aplicaciones legítimas disponibles fuera de Google Play o a través de campañas maliciosas. Entre los paquetes identificados como vehículos de distribución destacan:
- Busca en Google Chrome (com.klivkfbky.izaybebnx)
- Preemix Box (com.uvxuthoq.noscjahae)
Estas aplicaciones actúan como contenedores del malware, engañando al usuario para que conceda permisos críticos, especialmente los relacionados con los servicios de accesibilidad de Android.
Ataques por superposición: cómo roba las credencialesUno de los pilares de Sturnus es el uso de ataques por superposición (overlay attacks). Esta técnica consiste en:
- Detectar cuándo el usuario abre una app bancaria.
- Mostrar una pantalla falsa sobre la original.
- Capturar las credenciales ingresadas (usuario, contraseña, PIN, etc.).
Una vez robada la información, el malware desactiva la superposición para esa aplicación específica, reduciendo el riesgo de levantar sospechas en el usuario.
Además, Sturnus puede mostrar una pantalla falsa de actualización del sistema Android, que bloquea completamente la interacción visual y simula una actualización, mientras en segundo plano el atacante ejecuta acciones maliciosas sin ser detectado.
Control remoto y espionaje avanzado: un troyano con capacidades VNCOtro aspecto crítico es que Sturnus permite el control remoto total del dispositivo Android, gracias al uso de:
- Conexiones mediante WebSocket y HTTP.
- Un canal VNC que permite a los atacantes ver y controlar el equipo en tiempo real.
Gracias a esto, los operadores pueden:
- Simular toques en pantalla.
- Introducir texto.
- Desplazarse por menús.
- Abrir aplicaciones.
- Aceptar permisos.
- Activar pantallas negras para ocultar la actividad.
Esto convierte al dispositivo infectado en un zombie financiero, completamente manipulable a distancia.
Abuso de los servicios de accesibilidadSturnus explota los servicios de accesibilidad de Android para:
- Registrar pulsaciones de teclas (keylogging).
- Monitorizar interacciones con la interfaz de usuario.
- Analizar el contenido visible en pantalla.
- Detectar intentos de desinstalación o revocación de permisos.
Si el usuario intenta acceder a las opciones de configuración para eliminar privilegios de administrador, el malware interrumpe automáticamente la acción, sacándolo del menú antes de que pueda completar el proceso.
Esto significa que, mientras mantenga privilegios de administrador:
- No puede ser desinstalado normalmente.
- No puede eliminarse mediante ADB.
- Requiere intervención manual avanzada o restablecimiento completo del dispositivo.
Recolección masiva de información del dispositivoSturnus no se limita al robo bancario. También construye un perfil completo del dispositivo mediante información como:
- Sensores y estado del hardware.
- Tipo de red y conectividad.
- Lista de aplicaciones instaladas.
- Parámetros del sistema.
- Condiciones del entorno.
Este perfil dinámico ayuda a los atacantes a ajustar sus ataques, evadir detecciones y optimizar su estrategia en tiempo real.
Según ThreatFabric, este nivel de monitoreo funciona como un bucle de retroalimentación, donde cada dispositivo comprometido se convierte en una fuente de inteligencia para futuras campañas.
Riesgo potencial y escenario futuroAunque su actual propagación es limitada, los expertos alertan de que Sturnus podría ser parte de una fase de pruebas previa a operaciones más amplias y coordinadas.
El enfoque inicial en un área geográfica concreta sugiere que los atacantes están:
- Probando eficacia.
- Ajustando técnicas.
- Refinando infraestructuras de mando y control.
Esto sigue el patrón observado en otros troyanos bancarios que comenzaron a pequeña escala antes de convertirse en amenazas globales.
Cómo protegerse del troyano SturnusPara reducir el riesgo de infección:
- Evita instalar aplicaciones fuera de Google Play.
- Revisa cuidadosamente los permisos solicitados, especialmente los de accesibilidad.
- Utiliza soluciones de seguridad móvil confiables.
- Mantén Android y tus aplicaciones actualizadas.
- Desconfía de apps que se hacen pasar por navegadores o herramientas de productividad.
- Revisa regularmente qué apps tienen permisos de administrador.
En fin...Sturnus representa una nueva generación de malware bancario para Android, combinando espionaje, control remoto, manipulación de interfaz y evasión del cifrado en una sola herramienta.
Su aparición subraya la creciente sofisticación de las amenazas móviles y la necesidad urgente de reforzar la higiene digital, especialmente en dispositivos usados para operaciones financieras.
Fuente: https://thehackernews.com/