- Sturnus és un troià bancari per a Android que roba credencials i intercepta missatges d'apps xifrades com WhatsApp, Telegram i Signal.
- Abuseu del Servei d'Accessibilitat d'Android per llegir tot el que apareix a la pantalla i controlar el dispositiu de forma remota mitjançant sessions tipus VNC.
- Es distribueix com a APK maliciós que es fa passar per apps conegudes (per exemple, Google Chrome) i es dirigeix sobretot a bancs de l'Europa Central i del Sud.
- Utilitza comunicacions xifrades (HTTPS, RSA, AES, WebSocket) i demana privilegis d'administrador per mantenir-se persistent i complicar-ne l'eliminació.
Un nou troià bancari per Android anomenat Sturnus ha encès les alarmes al sector de la ciberseguretat europea. Aquest codi maliciós no només està orientat al robatori de credencials financeres, sinó que a més és capaç de llegir converses de WhatsApp, Telegram i Signal i prendre el control gairebé absolut del dispositiu infectat.
L'amenaça, identificada per investigadors de ThreatFabric i analistes citats per BleepingComputer, es troba encara en una fase primerenca de desplegament, però ja demostra un nivell de sofisticació poc habitual. Tot i que les campanyes detectades fins ara són limitades, els experts temen que es tracti de proves abans d'una ofensiva a escala més gran contra usuaris de banca mòbil a Europa Central i del Sud.
Què és Sturnus i per què preocupa tant
Sturnus és un troià bancari per a Android que combina diverses capacitats perilloses en un sol paquet: robatori de credencials financeres, espionatge d'apps de missatgeria xifrada i control remot del telèfon mitjançant tècniques d'accessibilitat avançades.
Segons l'anàlisi tècnica publicada per ThreatFabric, el codi maliciós està desenvolupat i operat per una empresa privada amb un enfocament clarament professional. Tot i que el codi i la infraestructura encara semblen estar en evolució, les mostres analitzades són plenament funcionals, el que indica que els atacants ja estan provant el troià amb víctimes reals.
Els investigadors assenyalen que, per ara, els objectius detectats es concentren en clients d'entitats financeres europees, sobretot a la zona central i del sud del continent. Aquesta focalització s'aprecia a les plantilles i pantalles falses integrades al codi maliciós (malware), dissenyades específicament per imitar l'aparença d'aplicacions bancàries locals.
Aquesta combinació de enfocament regional, alta sofisticació tècnica i fase de proves fa que Sturnus es percebi com una amenaça emergent amb potencial de creixement, similar a campanyes anteriors de troians bancaris que van començar de manera discreta i van acabar afectant milers de dispositius.
Com es propaga: apps falses i campanyes encobertes
La distribució de Sturnus es basa en fitxers APK maliciosos que es fan passar per aplicacions legítimes i populars. Els investigadors han identificat paquets que imiten, Entre d'altres, a Google Chrome (amb noms de paquet ofuscats com com.klivkfbky.izaybebnx) o apps aparentment inofensives com Preemix Box (com.uvxuthoq.noscjahae).
Tot i que el mètode exacte de difusió encara no s'ha determinat amb certesa, les evidències apunten a campanyes de phishing i anuncis maliciosos, així com missatges privats enviats a través de plataformes de missatgeria. Aquests missatges redirigeixen a webs fraudulentes on es convida l'usuari a descarregar suposades actualitzacions o utilitats que, en realitat, són l'instal·lador del troià.
Quan la víctima instal·la l'aplicació fraudulenta, Sturnus sol·licita permisos d'Accessibilitat i, en molts casos, privilegis d'administrador del dispositiu. Aquestes sol·licituds es disfressen amb missatges aparentment legítims, al·legant que són necessaris per oferir funcionalitats avançades o millorar-ne el rendiment. Quan l'usuari concedeix aquests permisos crítics, el codi maliciós obté la capacitat de veure tot el que passa a la pantalla, interactuar amb la interfície i impedir-ne la desinstal·lació per les vies habituals, per la qual cosa és clau saber com eliminar el malware d'Android.
Robatori de credencials bancàries mitjançant pantalles superposades
Una de les funcions clàssiques, però encara molt efectives, de Sturnus és l'ús de atacs de superposició (overlay) per robar dades bancàries. Aquesta tècnica consisteix a mostrar pantalles falses per sobre de les aplicacions legítimes, imitant amb gran fidelitat la interfície de l'app del banc de la víctima.
Quan l'usuari obre la vostra aplicació bancària, el troià detecta l'esdeveniment i mostra una finestra falsa d'inici de sessió o de verificació, sol·licitant usuari, contrasenya, PIN o dades de targeta. Per a l'afectat, l'experiència sembla normal: l'aparença visual replica logos, colors i textos del banc real.
Quan la víctima introdueix la informació, Sturnus envia les credencials al servidor dels atacants utilitzant canals xifrats. Poc després, podeu tancar la pantalla fraudulenta i tornar el control a l'app real, de manera que l'usuari amb prou feines nota un petit retard o un comportament estrany, que moltes vegades passa desapercebut. Després d'un robatori així, és crucial comprovar si el teu compte bancari ha estat piratejat.
Addicionalment, el troià és capaç de registrar pulsacions de teclat i comportaments dins d'altres aplicacions sensibles, la qual cosa amplia el tipus d'informació que podeu robar: des de contrasenyes d'accés a serveis en línia fins a codis de verificació enviats per SMS o missatges d'apps d'autenticació.
Com espia missatges de WhatsApp, Telegram i Signal sense trencar el xifrat
L'aspecte més inquietant de Sturnus és la seva capacitat per llegir converses de missatgeria que utilitzen xifratge d'extrem a extrem, com WhatsApp, Telegram (en els seus xats xifrats) o Signal. A primera vista, podria semblar que el programari maliciós ha aconseguit vulnerar els algoritmes criptogràfics, però la realitat és més subtil i preocupant.
En lloc d'atacar la transmissió dels missatges, Sturnus aprofita el Servei d'Accessibilitat d'Android per vigilar les aplicacions que es mostren en primer pla. Quan detecteu que l'usuari obre una d'aquestes apps de missatgeria, el troià es limita a llegir directament el contingut que apareix a la pantalla.
És a dir, no trenca el xifratge en trànsit: espera que la pròpia aplicació desxifre els missatges i els mostri a l'usuari. En aquest moment, el codi maliciós pot accedir al text, noms dels contactes, fils de conversa, missatges entrants i sortints i fins i tot a altres detalls presents a la interfície.
Aquest enfocament permet a Sturnus eludir completament la protecció del xifratge d'extrem a extrem sense necessitat de trencar-ho des d'un punt de vista matemàtic. Per als atacants, el telèfon actua com una finestra oberta que revela informació que, en teoria, hauria de romandre privada fins i tot davant d'intermediaris i proveïdors de serveis.
Mesures de protecció per a usuaris d'Android a Espanya i Europa
Davant d'amenaces com Sturnus, els especialistes en seguretat recomanen reforçar diversos hàbits bàsics en l'ús diari del mòbil:
- Evitar la instal·lació de fitxers APK obtinguts fora de la botiga oficial de Google, llevat que es tracti de fonts plenament verificades i estrictament necessàries.
- Revisar amb atenció els permisos que sol·liciten les aplicacions. Qualsevol app que demani accés al Servei d'Accessibilitat sense un motiu gaire clar hauria de fer saltar les alarmes.
- Desconfiar de les sol·licituds de privilegis d'administrador del dispositiu, que en la majoria de casos no són necessaris per al funcionament normal duna app estàndard.
- mantenir Google Play Protect i altres solucions de seguretat actives, actualitzar amb regularitat el sistema operatiu i les aplicacions instal·lades, i revisar periòdicament la llista d'aplicacions amb permisos sensibles.
- Estar atent a comportaments estranys (pantalles bancàries sospitoses, peticions de credencials inesperades, alentiments bruscs) i actuar immediatament davant de qualsevol signe d'alerta.
En cas de sospita d'infecció, una possible resposta és revocar manualment els privilegis d'administrador i accessibilitat des dels paràmetres del sistema i, posteriorment, desinstal·lar qualsevol app desconeguda. Si el dispositiu continua mostrant símptomes, pot ser necessari fer una còpia de seguretat de la informació essencial i optar per un restabliment de fàbrica, procurant després restaurar només allò imprescindible.
L'aparició de Sturnus confirma que el ecosistema Android segueix sent objectiu prioritari per a grups delictius amb recursos i motivació econòmica. Aquest troià combina robatori bancari, espionatge de missatgeria xifrada i control remot en un únic paquet, aprofitant permisos daccessibilitat i canals de comunicació xifrats per actuar amb sigil. En un context en què cada vegada més usuaris a Espanya i Europa depenen del mòbil per gestionar els diners i les comunicacions privades, mantenir la guàrdia alta i adoptar bones pràctiques digitals es converteix en una peça clau per no acabar en el punt de mira d'amenaces similars.
Sóc un apassionat de la tecnologia que ha convertit els seus interessos frikis en professió. Porto més de 10 anys de la meva vida utilitzant tecnologia d'avantguarda i traslladant tota mena de programes per pura curiositat. Ara he especialitzat en tecnologia d'ordinador i videojocs. Això és perquè des de fa més de 5 anys que treballo redactant per a diverses webs en matèria de tecnologia i videojocs, creant articles que busquen donar-te la informació que necessites amb un llenguatge comprensible per tothom.
Si tens qualsevol pregunta, els meus coneixements van des de tot allò relacionat amb el sistema operatiu Windows així com Android per a mòbils. I és que el meu compromís és amb tu, sempre estic disposat a dedicar-te uns minuts i ajudar-te a resoldre qualsevol dubte que tinguis a aquest món d'internet.