La comunidad de ciberseguridad ha puesto el foco en Sturnus, un troyano bancario para Android que combina técnicas de fraude financiero con espionaje de comunicaciones. Esta amenaza logra leer conversaciones de WhatsApp, Telegram o Signal justo después de que las aplicaciones las descifren en el dispositivo, y además ofrece a los atacantes un control remoto casi total del terminal.
Los investigadores de ThreatFabric describen un software plenamente funcional, aunque aún en fase temprana, con capacidad para robar credenciales mediante pantallas superpuestas, registrar pulsaciones y operar el móvil a distancia. De momento, su actividad se ha detectado sobre todo en Europa Central y del Sur, un entorno en el que los usuarios y entidades financieras deben extremar precauciones frente a otras amenazas como PlayPraetor.
Qué es Sturnus y cómo actúa
La clave del éxito de Sturnus está en el abuso del Servicio de Accesibilidad de Android, que le permite ver lo mismo que el usuario en pantalla y evidencia la importancia de controlar el sideloading en Android. Así, cuando se abre una app de mensajería, el malware espera a que el contenido aparezca y lo captura, esquivando de facto el cifrado de extremo a extremo sin romperlo.
Además del espionaje de chats, este troyano despliega ataques de superposición (overlays) que imitan los inicios de sesión de banca móvil para pescar credenciales. Puede monitorear qué app está en primer plano, registrar texto escrito y mostrar formularios falsos con los que engañar a las víctimas.
Otro pilar del arsenal de Sturnus es su módulo de control remoto tipo VNC. A través de un canal cifrado, el atacante puede pulsar botones, escribir, navegar por menús, aprobar transacciones o cambiar ajustes. Para ocultar la actividad, recurre a trucos visuales como cubrir la pantalla con una superposición negra o mostrar una supuesta actualización del sistema mientras actúa en segundo plano.
El impacto va más allá del robo de contraseñas: la posibilidad de leer conversaciones y documentos compartidos expone a los usuarios a riesgos añadidos, como chantajes o fraudes posteriores, al tiempo que facilita movimientos sigilosos dentro del dispositivo comprometido.
Vector de infección y comunicación con el servidor
Las infecciones detectadas se inician cuando la víctima instala un APK malicioso camuflado como apps legítimas, como Google Chrome o una app denominada Preemix Box. Aunque la vía exacta varía, se han observado campañas de phishing y se sospecha del uso de malvertising para conducir a descargas fuera de la tienda oficial.
Una vez dentro, Sturnus solicita permisos del Servicio de Accesibilidad y privilegios de administrador del dispositivo. Con esa combinación, puede leer texto en pantalla, simular gestos, registrar entradas y dificultar enormemente su desinstalación, manteniéndose persistente en el sistema.
El malware realiza un registro inicial con su infraestructura de mando y control (C2) y establece canales de comunicación mixtos: combina intercambios en texto claro con cifrado RSA y AES según la fase de la operación. Se han observado conexiones por HTTPS y un canal adicional mediante WebSocket cifrado para comandos en tiempo real y exfiltración de datos.
Según ThreatFabric, Sturnus muestra una arquitectura modular y un desarrollo sostenido, presuntamente bajo la gestión de una empresa privada. Este modelo facilita su actualización rápida, la incorporación de nuevas funciones y la adaptación frente a medidas defensivas, incluyendo la instalación o eliminación silenciosa de apps.
Alcance en Europa y medidas de protección
Por ahora, los operadores de Sturnus parecen centrarse en clientes de entidades financieras en Europa Central y del Sur, con campañas de bajo volumen que apuntan a una fase de pruebas antes de una expansión mayor. Pese a ello, el conjunto de capacidades observadas lo sitúa entre las amenazas móviles más complejas del momento.
Si se consolidan los ensayos, no es descartable que el malware intente ampliar su radio de acción hacia otros países europeos, incluido el mercado español, aprovechando su acceso a pantalla y controles para sortear barreras de seguridad y multifactor.
Recomendaciones prácticas para reducir el riesgo:
- Evita instalar APK fuera de Google Play y desconfía de enlaces de descarga recibidos por SMS, correo o mensajería.
- Revisa y limita los permisos del Servicio de Accesibilidad a apps estrictamente necesarias.
- Mantén el sistema y las apps actualizadas, activa Play Protect y comprueba permisos concedidos con regularidad.
- Activa medidas adicionales de banca segura: 2FA/MFA, alertas de actividad y validaciones fuera de banda.
En caso de sospecha, conviene actuar rápido: desconectar datos temporalmente, avisar al banco para bloquear operaciones, analizar el dispositivo con una solución reputada, revocar permisos de accesibilidad y, si persisten indicios, valorar un restablecimiento de fábrica y el cambio de contraseñas.
La combinación de lectura de mensajes tras el descifrado, control remoto en vivo y superposiciones bancarias convincentes convierte a Sturnus en un enemigo a tener muy en cuenta. Aunque sus operadores aún mueven ficha con cautela en Europa, la amplitud de sus técnicas obliga a elevar la atención y a aplicar buenas prácticas antes de que las campañas ganen escala.
