El nuevo troyano Sturnus roba tus mensajes de WhatsApp y toma el control total de tu móvil Android

Sturnus, un nuevo troyano bancario para Android, ha aparecido en Europa con la capacidad de robar mensajes de aplicaciones como WhatsApp y Signal, además de hacerse con el control completo del dispositivo. Este malware puede burlar las protecciones de cifrado de extremo a extremo mediante técnicas que no habíamos visto hasta ahora en amenazas móviles.

La información la hemos conocido a través de BleepingComputer, que explica cómo Sturnus aprovecha los servicios de accesibilidad de Android para leer todo lo que aparece en pantalla. ¿Cómo funciona exactamente? El troyano espera a que las aplicaciones descifren los mensajes y entonces los captura, burlando cualquier protección de cifrado. Para infectar dispositivos se disfraza de aplicaciones conocidas como Google Chrome.

Un malware que toma el control completo

La característica más peligrosa de Sturnus es su capacidad de control remoto total. El troyano establece sesiones VNC cifradas que permiten a los atacantes usar el móvil como si lo tuvieran físicamente en sus manos. Los permisos de accesibilidad son la puerta de entrada principal, tal como ocurrió con DroidBot, que utilizaba técnicas similares para acceder a información sensible.

Además, despliega ventanas falsas que imitan la interfaz de tu banco para robarte los datos. Esta técnica ya la habíamos visto en otros troyanos que se disfrazan de aplicaciones bancarias legítimas, pero Sturnus va un paso más allá. Para garantizar su supervivencia, solicita privilegios de administrador del dispositivo, bloqueando cualquier intento de desinstalación tradicional.

La comunicación está completamente cifrada mediante una combinación de plaintext, RSA y AES tanto para el registro inicial como para el envío de comandos y datos robados. Todo este arsenal técnico lo sitúa al nivel de amenazas sofisticadas como ToxicPanda, aunque con capacidades mucho más avanzadas de interceptación de mensajes.

Los investigadores han detectado que Sturnus se dirige específicamente a Europa Central y del Sur, incluyendo entidades bancarias locales. Los ataques identificados hasta ahora han sido de volumen reducido, lo que sugiere que podríamos estar ante una fase de pruebas antes de una campaña más amplia. El patrón recuerda a otros casos que empezaron con operaciones limitadas como El Padrino antes de expandirse.

Para protegerse de esta amenaza, resulta fundamental evitar la instalación de APK externos a Google Play Store y mantener activo Play Protect. También conviene ser muy restrictivo con los permisos de accesibilidad, especialmente después de conocer casos como este. Sturnus confirma que las amenazas móviles evolucionan constantemente, haciendo imprescindible mantener una vigilancia activa por parte de los usuarios.