Un nuevo troyano para Android, denominado Sturnus, genero alertas en Europa tras detectarse una campana destinada a robar mensajes de aplicaciones cifradas y tomar control total de dispositivos. La amenaza puede interceptar conversaciones en WhatsApp, Signal y otras plataformas de mensajeria.
Asimismo, el malware puede ejecutar acciones remotas que simulan la manipulacion fisica del telefono. Los investigadores advierten que su nivel de sofisticacion lo situa entre los malware moviles mas avanzados de los ultimos anos.
El hallazgo fue reportado por analistas de BleepingComputer, que detectaron los primeros casos en paises de Europa Central y del Sur. Segun el analisis tecnico, Sturnus se infiltra mediante aplicaciones falsas que suplantan herramientas populares, incluidos navegadores ampliamente utilizados.
Tras la instalacion, solicita permisos de accesibilidad, lo que le permite ver lo que aparece en pantalla y ejecutar gestos, toques o desplazamientos sin que la victima perciba actividad inusual.
Una capacidad especialmente preocupante es la lectura de mensajes protegidos con cifrado de extremo a extremo. El malware no rompe el cifrado; en su lugar espera a que la aplicacion muestre el contenido descifrado en pantalla y lo captura en ese momento, accediendo a mensajes recibidos y enviados aunque la app prometa alta privacidad.
Ademas de interceptar mensajes, Sturnus incorpora un sistema de control remoto con sesiones cifradas, similar a las herramientas legitimas de asistencia remota. Esto permite que un operador malicioso navegue por el telefono, abra aplicaciones, modifique configuraciones, consulte informacion sensible o complete transacciones sin interaccion del usuario. Aunque ya se habia observado en amenazas moviles previas, la implementacion de Sturnus presenta mejoras en velocidad, estabilidad y sigilo.
Los especialistas tambien documentaron tecnicas de suplantacion visual: el malware puede superponer ventanas identicas a las de aplicaciones bancarias para solicitar credenciales, numeros de tarjeta y otros datos de alto valor.
Estas pantallas falsas se muestran en momentos estrategicos para aparentar procesos legitimos. Si el usuario introduce datos, el troyano los envia de inmediato al servidor del atacante a traves de canales que combinan cifrado RSA, AES y tramos en texto plano.
Otra dificultad para su eliminacion es que solicita privilegios de administrador del dispositivo, lo que impide desinstalarlo desde los ajustes convencionales. Este comportamiento busca garantizar su persistencia incluso si la victima intenta recuperar el control. Combinado con su arquitectura de comunicacion cifrada, convierte a Sturnus en una amenaza avanzada con mayor capacidad para capturar datos personales y bancarios.
Los investigadores consideran que la actividad observada corresponde a una fase de pruebas limitada. Los ataques identificados han sido de baja escala y dirigidos a entidades financieras especificas, lo que sugiere que los operadores podrian estar afinando tecnicas antes de una posible expansion. Historicamente, troyanos bancarios comenzaron con despliegues similares antes de propagarse a miles de dispositivos.
Para reducir el riesgo de infeccion, los expertos recomiendan evitar la instalacion de archivos APK obtenidos fuera de Google Play y desconfiar de aplicaciones que pidan permisos de accesibilidad sin una razon clara. Tambien es importante mantener activas las herramientas de proteccion, actualizar el dispositivo regularmente y revisar los permisos concedidos a las apps instaladas. La vigilancia y las buenas practicas son clave: amenazas como Sturnus demuestran que el ecosistema movil sigue siendo un objetivo prioritario para grupos delictivos cada vez mas organizados.
