Sturnus Trojan: WhatsAppをスパイし、携帯電話を制御するAndroid向けの新しいバンキングマルウェア

Un nuevo troyano bancario para Android llamado Sturnus ha encendido las alarmas en el sector de la ciberseguridad europea. Este malware no solo está orientado al robo de credenciales financieras, sino que además es capaz de leer conversaciones de WhatsApp, Telegram y Signal y tomar el control casi absoluto del dispositivo infectado.

La amenaza, identificada por investigadores de 脅威ファブリック y analistas citados por BleepingComputer, se encuentra todavía en una fase temprana de despliegue, pero ya demuestra un nivel de sofisticación poco habitual. Aunque las campañas detectadas hasta ahora son limitadas, los expertos temen que se trate de pruebas antes de una ofensiva a mayor escala contra usuarios de banca móvil en Europa Central y del Sur.

Qué es Sturnus y por qué preocupa tanto

Sturnus es un troyano bancario para Android que combina varias capacidades peligrosas en un solo paquete: robo de credenciales financieras, espionaje de apps de mensajería cifrada y control remoto del teléfono mediante técnicas avanzadas de accesibilidad.

Según el análisis técnico publicado por 脅威ファブリック, el malware está desarrollado y operado por una empresa privada con un enfoque claramente profesional. Aunque el código y la infraestructura todavía parecen estar en evolución, las muestras analizadas son 完全に機能する、これは次のことを示します los atacantes ya están probando el troyano con víctimas reales.

Los investigadores señalan que, por ahora, los objetivos detectados se concentran en clientes de entidades financieras europeas, sobre todo en la zona central y del sur del continente. Esta focalización se aprecia en las plantillas y pantallas falsas integradas en el malware, diseñadas específicamente para imitar la apariencia de aplicaciones bancarias locales.

この組み合わせ enfoque regional, alta sofisticación técnica y fase de pruebas hace que Sturnus se perciba como una amenaza emergente con potencial de crecimiento, similar a campañas anteriores de troyanos bancarios que comenzaron de forma discreta y terminaron afectando a miles de dispositivos.

Cómo se propaga: apps falsas y campañas encubiertas

の分布 Sturnus se basa en archivos APK maliciosos que se hacen pasar por aplicaciones legítimas y populares. Los investigadores han identificado paquetes que imitan、とりわけ、 a Google Chrome (con nombres de paquete ofuscados como com.klivkfbky.izaybebnx) o apps aparentemente inofensivas como Preemix Box (com.uvxuthoq.noscjahae).

しかし método exacto de difusión aún no se ha determinado con certeza, las evidencias apuntan a campañas de phishing y anuncios maliciosos, así como mensajes privados enviados a través de plataformas de mensajería. Estos mensajes redirigen a webs fraudulentas donde se invita al usuario a descargar supuestas actualizaciones o utilidades que, en realidad, son el instalador del troyano.

Una vez que la víctima instala la aplicación fraudulenta, Sturnus solicita アクセシビリティの権限 そして多くの場合、 デバイス管理者権限. Estas solicitudes se disfrazan con mensajes aparentemente legítimos, alegando que son necesarios para ofrecer funcionalidades avanzadas o mejorar el rendimiento. Cuando el usuario concede estos permisos críticos, el malware obtiene la capacidad de ver todo lo que ocurre en pantalla, interactuar con la interfaz e impedir su desinstalación por las vías habituales, por lo que es clave saber Androidからマルウェアを削除する方法.

Robo de credenciales bancarias mediante pantallas superpuestas

Una de las funciones clásicas, pero aún muy efectivas, de Sturnus es el uso de ataques de superposición (overlay) para robar datos bancarios. Esta técnica consiste en mostrar pantallas falsas por encima de las aplicaciones legítimas, imitando con gran fidelidad la interfaz de la app del banco de la víctima.

Cuando el usuario abre su aplicación bancaria, el troyano detecta el evento y muestra una ventana falsa de inicio de sesión o de verificación, solicitando usuario, contraseña, PIN o datos de tarjeta. Para el afectado, la experiencia parece completamente normal: la apariencia visual replica logos, colores y textos del banco real.

En cuanto la víctima introduce la información, Sturnus envía las credenciales al servidor de los atacantes utilizando canales cifrados. Poco después, puede cerrar la pantalla fraudulenta y devolver el control a la app real, de manera que el usuario apenas nota un pequeño retraso o un comportamiento extraño, que muchas veces pasa desapercibido. Tras un robo así, es crucial comprobar si tu cuenta bancaria ha sido pirateada.

Adicionalmente, el troyano es capaz de registrar pulsaciones de teclado y comportamientos dentro de otras aplicaciones sensibles, lo que amplía el tipo de información que puede robar: desde contraseñas de acceso a servicios en línea hasta códigos de verificación enviados por SMS o mensajes de apps de autenticación.

Cómo espía mensajes de WhatsApp, Telegram y Signal sin romper el cifrado

El aspecto más inquietante de Sturnus es su capacidad para leer conversaciones de mensajería que utilizan cifrado de extremo a extremo, como WhatsApp, Telegram (en sus chats cifrados) o Signal. A primera vista, podría parecer que el malware ha conseguido vulnerar los algoritmos criptográficos, pero la realidad es más sutil y preocupante.

En lugar de atacar la transmisión de los mensajes, Sturnus aprovecha el Servicio de Accesibilidad de Android para vigilar las aplicaciones que se muestran en primer plano. Cuando detecta que el usuario abre una de estas apps de mensajería, el troyano se limita a leer directamente el contenido que aparece en la pantalla.

Es decir, no rompe el cifrado en tránsito: espera a que la propia aplicación descifre los mensajes y los muestre al usuario. En ese momento, el malware puede acceder al texto, nombres de los contactos, hilos de conversación, mensajes entrantes y salientes e incluso a otros detalles presentes en la interfaz.

Este enfoque permite a Sturnus eludir por completo la protección del cifrado de extremo a extremo sin necesidad de romperlo desde un punto de vista matemático. Para los atacantes, el teléfono actúa como una ventana abierta que revela información que, en teoría, debería permanecer privada incluso frente a intermediarios y proveedores de servicios.

Medidas de protección para usuarios de Android en España y Europa

Ante amenazas como Sturnus, los especialistas en seguridad recomiendan reforzar varios hábitos básicos en el uso diario del móvil:

• Evitar la instalación de archivos APK obtenidos fuera de la tienda oficial de Google, salvo que se trate de fuentes plenamente verificadas y estrictamente necesarias.
• Revisar con atención los permisos que solicitan las aplicaciones. Cualquier app que pida acceso al Servicio de Accesibilidad sin un motivo muy claro debería hacer saltar las alarmas.
• Desconfiar de las solicitudes de デバイス管理者権限, que en la mayoría de casos no son necesarios para el funcionamiento normal de una app estándar.
• 保つ Google Play Protect y otras soluciones de seguridad activas, actualizar con regularidad el sistema operativo y las apps instaladas, y revisar periódicamente la lista de aplicaciones con permisos sensibles.
• 注意してください 奇妙な行動 (pantallas bancarias sospechosas, peticiones de credenciales inesperadas, ralentizaciones bruscas) y actuar de inmediato ante cualquier signo de alerta.

En caso de sospecha de infección, una posible respuesta es revocar manualmente los privilegios de administrador y de accesibilidad desde los ajustes del sistema y, posteriormente, desinstalar cualquier app desconocida. Si el dispositivo sigue mostrando síntomas, puede ser necesario realizar una copia de seguridad de la información esencial y optar por un restablecimiento de fábrica, procurando luego restaurar solo lo imprescindible.

La aparición de Sturnus confirma que el ecosistema Android sigue siendo objetivo prioritario para grupos delictivos con recursos y motivación económica. Este troyano combina robo bancario, espionaje de mensajería cifrada y control remoto en un único paquete, aprovechando permisos de accesibilidad y canales de comunicación cifrados para actuar con sigilo. En un contexto en el que cada vez más usuarios en España y Europa dependen del móvil para gestionar su dinero y sus comunicaciones privadas, mantener la guardia alta y adoptar buenas prácticas digitales se convierte en una pieza clave para no acabar en el punto de mira de amenazas similares.