- Sturnus es un troyano bancario para Android que roba credenciales e intercepta mensajes de apps cifradas como WhatsApp, Telegram y Signal.
- Abusa del Servicio de Accesibilidad de Android para leer todo lo que aparece en pantalla y controlar el dispositivo de forma remota mediante sesiones tipo VNC.
- Se distribuye como APK malicioso que se hace pasar por apps conocidas (por ejemplo, Google Chrome) y se dirige sobre todo a bancos de Europa Central y del Sur.
- Utiliza comunicaciones cifradas (HTTPS, RSA, AES, WebSocket) y pide privilegios de administrador para mantenerse persistente y complicar su eliminación.
Un nuevo troyano bancario para Android llamado Sturnus ha encendido las alarmas en el sector de la ciberseguridad europea. Este malware no solo está orientado al robo de credenciales financieras, sino que además es capaz de leer conversaciones de WhatsApp, Telegram y Signal y tomar el control casi absoluto del dispositivo infectado.
La amenaza, identificada por investigadores de ThreatFabric y analistas citados por BleepingComputer, se encuentra todavía en una fase temprana de despliegue, pero ya demuestra un nivel de sofisticación poco habitual. Aunque las campañas detectadas hasta ahora son limitadas, los expertos temen que se trate de pruebas antes de una ofensiva a mayor escala contra usuarios de banca móvil en Europa Central y del Sur.
Qué es Sturnus y por qué preocupa tanto
Sturnus es un troyano bancario para Android que combina varias capacidades peligrosas en un solo paquete: robo de credenciales financieras, espionaje de apps de mensajería cifrada y control remoto del teléfono mediante técnicas avanzadas de accesibilidad.
Según el análisis técnico publicado por ThreatFabric, el malware está desarrollado y operado por una empresa privada con un enfoque claramente profesional. Aunque el código y la infraestructura todavía parecen estar en evolución, las muestras analizadas son plenamente funcionales, lo que indica que los atacantes ya están probando el troyano con víctimas reales.
Los investigadores señalan que, por ahora, los objetivos detectados se concentran en clientes de entidades financieras europeas, sobre todo en la zona central y del sur del continente. Esta focalización se aprecia en las plantillas y pantallas falsas integradas en el malware, diseñadas específicamente para imitar la apariencia de aplicaciones bancarias locales.
Esta combinación de enfoque regional, alta sofisticación técnica y fase de pruebas hace que Sturnus se perciba como una amenaza emergente con potencial de crecimiento, similar a campañas anteriores de troyanos bancarios que comenzaron de forma discreta y terminaron afectando a miles de dispositivos.
Cómo se propaga: apps falsas y campañas encubiertas
La distribución de Sturnus se basa en archivos APK maliciosos que se hacen pasar por aplicaciones legítimas y populares. Los investigadores han identificado paquetes que imitan, entre otros, a Google Chrome (con nombres de paquete ofuscados como com.klivkfbky.izaybebnx) o apps aparentemente inofensivas como Preemix Box (com.uvxuthoq.noscjahae).
Aunque el método exacto de difusión aún no se ha determinado con certeza, las evidencias apuntan a campañas de phishing y anuncios maliciosos, así como mensajes privados enviados a través de plataformas de mensajería. Estos mensajes redirigen a webs fraudulentas donde se invita al usuario a descargar supuestas actualizaciones o utilidades que, en realidad, son el instalador del troyano.
Una vez que la víctima instala la aplicación fraudulenta, Sturnus solicita permisos de Accesibilidad y, en muchos casos, privilegios de administrador del dispositivo. Estas solicitudes se disfrazan con mensajes aparentemente legítimos, alegando que son necesarios para ofrecer funcionalidades avanzadas o mejorar el rendimiento. Cuando el usuario concede estos permisos críticos, el malware obtiene la capacidad de ver todo lo que ocurre en pantalla, interactuar con la interfaz e impedir su desinstalación por las vías habituales, por lo que es clave saber cómo eliminar el malware de Android.
Robo de credenciales bancarias mediante pantallas superpuestas
Una de las funciones clásicas, pero aún muy efectivas, de Sturnus es el uso de ataques de superposición (overlay) para robar datos bancarios. Esta técnica consiste en mostrar pantallas falsas por encima de las aplicaciones legítimas, imitando con gran fidelidad la interfaz de la app del banco de la víctima.
Cuando el usuario abre su aplicación bancaria, el troyano detecta el evento y muestra una ventana falsa de inicio de sesión o de verificación, solicitando usuario, contraseña, PIN o datos de tarjeta. Para el afectado, la experiencia parece completamente normal: la apariencia visual replica logos, colores y textos del banco real.
En cuanto la víctima introduce la información, Sturnus envía las credenciales al servidor de los atacantes utilizando canales cifrados. Poco después, puede cerrar la pantalla fraudulenta y devolver el control a la app real, de manera que el usuario apenas nota un pequeño retraso o un comportamiento extraño, que muchas veces pasa desapercibido. Tras un robo así, es crucial comprobar si tu cuenta bancaria ha sido pirateada.
Adicionalmente, el troyano es capaz de registrar pulsaciones de teclado y comportamientos dentro de otras aplicaciones sensibles, lo que amplía el tipo de información que puede robar: desde contraseñas de acceso a servicios en línea hasta códigos de verificación enviados por SMS o mensajes de apps de autenticación.
Cómo espía mensajes de WhatsApp, Telegram y Signal sin romper el cifrado
El aspecto más inquietante de Sturnus es su capacidad para leer conversaciones de mensajería que utilizan cifrado de extremo a extremo, como WhatsApp, Telegram (en sus chats cifrados) o Signal. A primera vista, podría parecer que el malware ha conseguido vulnerar los algoritmos criptográficos, pero la realidad es más sutil y preocupante.
En lugar de atacar la transmisión de los mensajes, Sturnus aprovecha el Servicio de Accesibilidad de Android para vigilar las aplicaciones que se muestran en primer plano. Cuando detecta que el usuario abre una de estas apps de mensajería, el troyano se limita a leer directamente el contenido que aparece en la pantalla.
Es decir, no rompe el cifrado en tránsito: espera a que la propia aplicación descifre los mensajes y los muestre al usuario. En ese momento, el malware puede acceder al texto, nombres de los contactos, hilos de conversación, mensajes entrantes y salientes e incluso a otros detalles presentes en la interfaz.
Este enfoque permite a Sturnus eludir por completo la protección del cifrado de extremo a extremo sin necesidad de romperlo desde un punto de vista matemático. Para los atacantes, el teléfono actúa como una ventana abierta que revela información que, en teoría, debería permanecer privada incluso frente a intermediarios y proveedores de servicios.
Medidas de protección para usuarios de Android en España y Europa
Ante amenazas como Sturnus, los especialistas en seguridad recomiendan reforzar varios hábitos básicos en el uso diario del móvil:
- Evitar la instalación de archivos APK obtenidos fuera de la tienda oficial de Google, salvo que se trate de fuentes plenamente verificadas y estrictamente necesarias.
- Revisar con atención los permisos que solicitan las aplicaciones. Cualquier app que pida acceso al Servicio de Accesibilidad sin un motivo muy claro debería hacer saltar las alarmas.
- Desconfiar de las solicitudes de privilegios de administrador del dispositivo, que en la mayoría de casos no son necesarios para el funcionamiento normal de una app estándar.
- Mantener Google Play Protect y otras soluciones de seguridad activas, actualizar con regularidad el sistema operativo y las apps instaladas, y revisar periódicamente la lista de aplicaciones con permisos sensibles.
- Estar atento a comportamientos extraños (pantallas bancarias sospechosas, peticiones de credenciales inesperadas, ralentizaciones bruscas) y actuar de inmediato ante cualquier signo de alerta.
En caso de sospecha de infección, una posible respuesta es revocar manualmente los privilegios de administrador y de accesibilidad desde los ajustes del sistema y, posteriormente, desinstalar cualquier app desconocida. Si el dispositivo sigue mostrando síntomas, puede ser necesario realizar una copia de seguridad de la información esencial y optar por un restablecimiento de fábrica, procurando luego restaurar solo lo imprescindible.
La aparición de Sturnus confirma que el ecosistema Android sigue siendo objetivo prioritario para grupos delictivos con recursos y motivación económica. Este troyano combina robo bancario, espionaje de mensajería cifrada y control remoto en un único paquete, aprovechando permisos de accesibilidad y canales de comunicación cifrados para actuar con sigilo. En un contexto en el que cada vez más usuarios en España y Europa dependen del móvil para gestionar su dinero y sus comunicaciones privadas, mantener la guardia alta y adoptar buenas prácticas digitales se convierte en una pieza clave para no acabar en el punto de mira de amenazas similares.
Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.
Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.