Investigadores de ciberseguridad han revelado nuevos detalles sobre un troyano bancario para Android llamado Sturnus, diseñado para el robo de credenciales y el control total de dispositivos con el objetivo de llevar a cabo fraudes financieros. Según el informe de ThreatFabric compartido con The Hacker News, Sturnus se distingue por su capacidad de eludir la encriptación en aplicaciones de mensajería, permitiendo así a los atacantes monitorear comunicaciones en plataformas como WhatsApp, Telegram y Signal.
¡Cuidado con los troyanos!
Una de las características más alarmantes de este troyano es su habilidad para insertar pantallas de inicio de sesión falsas que se superponen a aplicaciones bancarias, lo que facilita la captura de credenciales de los usuarios desprevenidos. Su operación se basa en un mecanismo de comunicación mixto que combina texto plano, así como encriptación AES y RSA. Esto ha llevado a los expertos a señalar que su nombre, Sturnus, hace referencia al estornino europeo, conocido por su capacidad de imitación y su vocalización diversa.
Una vez activado, Sturnus establece un canal WebSocket para registrar el dispositivo y recibir cargas útiles encriptadas. Este canal también permite la interacción remota con el dispositivo comprometido durante sesiones de Virtual Network Computing (VNC). Además, el malware abusa de los servicios de accesibilidad de Android para capturar pulsaciones de teclas y grabar interacciones de usuario.
El troyano puede bloquear la retroalimentación visual mediante un overlay de pantalla completa que simula una actualización del sistema operativo, desviando la atención del usuario mientras realiza acciones maliciosas. Aunque su distribución sigue siendo limitada, su enfoque geográfico en instituciones financieras de Europa del Sur y Central sugiere que los atacantes están perfeccionando sus herramientas para operaciones más amplias en el futuro. Las capacidades de monitoreo extenso que permite podrían facilitar tácticas adaptativas para evitar la detección.