Sturnus puede monitorizar las comunicaciones a través de WhatsApp, Telegram y Signal
Investigadores de ciberseguridad han revelado detalles de un nuevo troyano bancario para Android llamado Sturnus que permite el robo de credenciales y el control total del dispositivo para realizar fraude financiero.
"Una de sus principales ventajas es su capacidad para eludir la mensajería cifrada", afirmó en un informe ThreatFabric. "Al capturar el contenido directamente de la pantalla del dispositivo tras el descifrado, Sturnus puede monitorizar las comunicaciones a través de WhatsApp, Telegram y Signal".
Otra característica destacable es su capacidad para realizar ataques de superposición, mostrando falsas pantallas de inicio de sesión sobre aplicaciones bancarias para robar las credenciales de las víctimas. Según la empresa neerlandesa de seguridad móvil, Sturnus es una empresa privada y actualmente se encuentra en fase de evaluación. A continuación se enumeran los artefactos que distribuyen el malware bancario:
• Google Chrome ("com.klivkfbky.izaybebnx")
• Preemix Box ("com.uvxuthoq.noscjahae")
El malware ha sido diseñado para atacar específicamente a instituciones financieras del sur y centro de Europa con superposiciones específicas para cada región.
El nombre Sturnus hace referencia a su uso de un patrón de comunicación mixto que combina texto plano, AES y RSA, y ThreatFabric lo compara con el estornino europeo (nombre binomial: Sturnus vulgaris), que incorpora una variedad de silbidos y es conocido por ser un imitador vocal.
Una vez ejecutado, el troyano se conecta a un servidor remoto mediante WebSocket y HTTP para registrar el dispositivo y recibir datos cifrados. También establece un canal WebSocket para que los atacantes puedan interactuar con el dispositivo Android comprometido durante sesiones de VNC (Virtual Network Computing).
Además de mostrar superposiciones falsas de aplicaciones bancarias, Sturnus también puede aprovechar los servicios de accesibilidad de Android para capturar pulsaciones de teclas y registrar las interacciones con la interfaz de usuario. Una vez que se muestra una superposición de un banco a la víctima y se obtienen sus credenciales, la superposición para ese banco específico se desactiva para no levantar sospechas.
Además, puede mostrar una superposición a pantalla completa que bloquea toda la información visual e imita la pantalla de actualización del sistema operativo Android para dar al usuario la impresión de que se están realizando actualizaciones de software, cuando, en realidad, permite que se lleven a cabo acciones maliciosas en segundo plano.
Algunas de las otras características del malware incluyen soporte para monitorear la actividad del dispositivo, así como aprovechar los servicios de accesibilidad para recopilar el contenido de los chats de Signal, Telegram y WhatsApp, además de enviar detalles sobre cada elemento de la interfaz visible en la pantalla.
Esto permite a los atacantes reconstruir la interfaz en su extremo y ejecutar de forma remota acciones relacionadas con clics, entrada de texto, desplazamiento, apertura de aplicaciones, confirmación de permisos e incluso habilitar una superposición de pantalla negra. Un mecanismo alternativo de control remoto integrado en Sturnus utiliza el marco de captura de pantalla del sistema para duplicar la pantalla del dispositivo en tiempo real.
"Cada vez que el usuario accede a pantallas de configuración que podrían deshabilitar su estado de administrador, el malware detecta el intento a través de la supervisión de la accesibilidad, identifica los controles relevantes y automáticamente abandona la página para interrumpir al usuario", dijo ThreatFabric.
"Hasta que no se revoquen manualmente sus derechos de administrador, quedan bloqueadas tanto la desinstalación ordinaria como la eliminación mediante herramientas como ADB, lo que proporciona al malware una fuerte protección contra los intentos de limpieza".
Las amplias capacidades de monitorización del entorno permiten recopilar información de sensores, condiciones de la red, datos de hardware y un inventario de las aplicaciones instaladas. Este perfil del dispositivo funciona como un bucle de retroalimentación continua, lo que ayuda a los atacantes a adaptar sus tácticas para eludir la detección.
"Aunque la propagación sigue siendo limitada en esta etapa, la combinación de la geografía específica y el enfoque en aplicaciones de alto valor implica que los atacantes están perfeccionando sus herramientas de cara a operaciones más amplias o coordinadas", dijo ThreatFabric.
