El análisis de las acciones de Sturnus muestra un mecanismo sofisticado para acceder a información confidencial de los usuarios de Android, que va más allá del robo convencional de credenciales bancarias. De acuerdo con un informe de ThreatFabric, este troyano bancario no solo explota vulnerabilidades para apoderarse de datos sensibles en aplicaciones financieras, sino que también logra comprometer la privacidad en plataformas de mensajería cifrada ampliamente utilizadas, como WhatsApp, Telegram y Signal.
ThreatFabric detalló en su blog oficial que Sturnus ha sido identificado como una amenaza emergente dirigida principalmente a usuarios de aplicaciones bancarias en Europa. La investigación indica que su despliegue, aunque plenamente operativo, podría estar en una fase inicial, en preparación para una campaña más extensa. Según la firma de seguridad, Sturnus se distribuye a través de campañas de ‘phishing’ diseñadas para engañar a los usuarios y hacerles instalar el software malicioso en sus dispositivos.
Este troyano implementa técnicas avanzadas de suplantación a través de la superposición de capas falsas de inicio de sesión, que imitan de forma precisa las interfaces legítimas de las aplicaciones bancarias. El objetivo es recolectar credenciales de acceso sin levantar sospechas. Según indicó ThreatFabric, el hecho de que Sturnus conceda a los atacantes capacidad de controlar por completo los dispositivos infectados añade un nivel mayor de riesgo para los usuarios, ya que permite tanto vigilar la actividad de las víctimas como ocultar cualquier rastro de su operación ilícita.
Una de las capacidades que distingue a Sturnus de otras amenazas es su enfoque en las aplicaciones de mensajería encriptada. Los expertos de ThreatFabric aclararon que el troyano no desactiva ni elimina la encriptación de extremo a extremo que protege la privacidad en servicios como WhatsApp o Telegram. En su lugar, aprovecha el acceso concedido mediante el Servicio de Accesibilidad de Android para leer toda la información visualizada en la pantalla cuando estas aplicaciones están activas.
De acuerdo con la información publicada por ThreatFabric, Sturnus monitoriza de manera constante las aplicaciones que el usuario mantiene abiertas en primer plano. Cuando detecta que una de las plataformas de mensajería protegida se encuentra activa y cuenta con los privilegios necesarios, el troyano puede capturar todos los mensajes y archivos a medida que se muestran al usuario, es decir, después de que ya han sido desencriptados por la propia aplicación. De este modo, logra eludir cualquier barrera que imponga el cifrado y permite que los operadores accedan a conversaciones privadas, incluidas posibles informaciones personales, contraseñas o datos financieros compartidos a través de estos servicios.
ThreatFabric reportó que, aunque la acción principal de Sturnus se orienta actualmente hacia el robo de datos bancarios, la amenaza para la privacidad y la seguridad de las comunicaciones personales representa un peligro adicional. El hecho de que los mensajes confidenciales puedan ser interceptados sin que las víctimas lo adviertan incrementa la exposición de los usuarios a otros posibles delitos, como el chantaje o el fraude.
La investigación de la firma también señala que Sturnus está controlado por una empresa privada, lo que podría facilitar su constante actualización y adaptación ante nuevas medidas de seguridad en las aplicaciones móviles. Según los expertos de ThreatFabric, el desarrollo observado sugiere que este malware podría adoptar rápidamente nuevos métodos de ataque o ampliarse a otros sectores fuera del ámbito bancario.
Además, ThreatFabric resaltó que la concesión de permisos al Servicio de Accesibilidad representa el principal vector de ataque. Al solicitar este acceso, Sturnus consigue la capacidad de observar, interactuar y extraer toda la información que el usuario vea en pantalla, abarcando tanto sesiones de banca electrónica como actividades en plataformas sociales y de mensajería.
Según reportó la firma, esta funcionalidad le otorga a los cibercriminales un nivel de control integral sobre los dispositivos afectados, permitiendo no solo la sustracción de datos, sino también el monitoreo permanente del comportamiento del usuario y la posibilidad de instalar o eliminar aplicaciones adicionales, todo ello sin que el titular del dispositivo detecte la presencia del software malicioso.
ThreatFabric subrayó que, si bien la actual propagación de Sturnus parece estar limitada principalmente a Europa y enfocada en entidades financieras, los mecanismos técnicos utilizados abren la puerta a ataques más amplios en el futuro. La expectativa planteada por el equipo de la firma es que el troyano evolucione y posiblemente expanda su alcance a nuevos objetivos y regiones, aprovechando los permisos y el acceso obtenidos en los dispositivos Android comprometidos.
