El ecosistema de malware para Android vuelve a encender las alarmas con la aparición de Sturnus, un troyano bancario capaz de espiar mensajes cifrados de Signal, WhatsApp y Telegram, además de tomar el control total del dispositivo. Aunque aún esta en desarrollo, los expertos advierten que si nivel de sofisticación lo posiciona como una de las amenazas más peligrosas del año.
Desarrollado con un enfoque modular, Sturnus combina técnicas de espionaje avanzado y control remoto completo, orientados al robo de credenciales bancarias y datos personales. Sus ataques ya se han detectado en Europa, donde utiliza plantillas superpuestas para imitar la interfaz de bancos locales y engañar a las víctimas.
El malware Sturnus para Android y su alcance real
Según ha informado la firma de ciberseguridad, ThreatFabric, este malware no se limita a interceptar tráfico cifrado. En cambio, captura el contenido directamente desde la pantalla del dispositivo, justo después del proceso de cifrado en aplicaciones seguras. Esto le permite acceder a mensajes y conversaciones privadas que, en teoría, están protegidas por cifrado de extremo a extremo.
Hasta que no se revoquen manualmente sus derechos de administrador, tanto la desinstalación ordinaria como la eliminación mediante herramientas como ADB quedan bloqueadas, lo que proporciona al malware una sólida protección contra los intentos de limpieza – ThreatFabric.
Una vez instalado, el malware establece comunicación con su servidor C2 mediante canales cifrados con RSA y AES, y crea una sesión VNC para operar el dispositivo en tiempo real. Con ello, los atacantes pueden navegar, escribir, presionar botones e incluso, mover dinero desde aplicaciones bancarias, todo sin que la víctima lo note.
Cómo logra el control total del dispositivo
El malware Sturnus abusa de los servicios de accesibilidad de Android, aun función legítima pensada para ayudar a los usuarios con discapacidad, pero que los ciberdelincuentes utilizan a menudo para espiar y manipular la interfaz del dispositivo. Gracias a estos permisos, el malware puede:
- Leer el texto visible en pantalla.
- Capturar entradas del teclado y nombres de contacto.
- Detectar cuándo se abren apps como WhatsApp, Signal o Telegram.
- Insertar texto y ejecutar acciones remotas.
El modo VNC permite una interacción completa con el sistema operativo, como si el atacante estuviera usando el teléfono físicamente. Mientras tanto, una superposición negra oculta las acciones al usuario, permitiendo la ejecución de operaciones bancarias, cambios de configuración o instalación de aplicaciones maliciosas sin levantar sospecha.
Una amenaza en expansión silenciosa
Aunque las detecciones actuales son limitadas, ThreatFabric ha identificado actividad de Sturnus en el sur y centro de Europa, posiblemente en una fase de prueba. Los investigadores señalan que su infraestructura «lista para escalar» sugiere que pronto podría usarse en campañas masivas.
El malware puede leer todo lo que aparece en la pantalla -incluidos contactos, hilos de conversación y mensajes- en tiempo real, eludiendo el cifrado de extremo a extremo, explican los analistas.
Por ahora, los expertos recomiendan no instalar APKs externos, mantener Google Play Protect activo y revisar los permisos de accesibilidad para detectar comportamientos sospechosos. En su fase actual, Sturnus parece ser un ensayo para un ataque más amplio, pero sus capacidades anticipan una nueva generación de malware bancario avanzado para Android.