Nuevo troyano para Android pone en alerta a la seguridad móvil: se trata de Sturnus, un malware diseñado para robar credenciales, tomar el control del dispositivo y evadir prácticamente cualquier sistema de detección.
Pero lo más preocupante es su capacidad para mirar lo que ocurre en aplicaciones de mensajería consideradas seguras, como WhatsApp, Telegram y Signal, capturando el contenido que aparece en pantalla incluso cuando está protegido por cifrado.
En TecnetOne seguimos de cerca este tipo de amenazas porque representan un riesgo creciente tanto para usuarios como para empresas que dependen del móvil en su día a día. Por eso, en este artículo te contamos qué es Sturnus, cómo funciona, por qué es tan peligroso y cómo puedes protegerte.
Sturnus es un troyano bancario para Android diseñado para robar credenciales financieras, controlar el dispositivo y espiar comunicaciones privadas. Es un malware moderno que combina técnicas avanzadas como:
Superposiciones falsas (overlays) para robar contraseñas bancarias.
Lectura del contenido mostrado en pantalla, incluso en apps cifradas.
Captura de pantalla en tiempo real o reconstruida mediante eventos de accesibilidad.
Monitoreo constante del sistema y de las aplicaciones del usuario.
Comunicación cifrada con servidores de control para evadir detección.
Lo que lo hace especialmente peligroso es su capacidad para obtener acceso a información protegida por cifrado de extremo a extremo, explotando el punto débil de toda aplicación segura: el dispositivo del usuario.
Los análisis recientes apuntan a que Sturnus todavía está en desarrollo o en una fase de pruebas bastante limitada. Aun así, el troyano ya ha comenzado a apuntar a instituciones financieras en el sur y centro de Europa, algo que sugiere que sus operadores están preparando una campaña mucho más amplia.
Lo preocupante es que, incluso en este estado “temprano”, el malware es totalmente funcional y ya supera a muchas familias de troyanos consolidadas, especialmente en lo que tiene que ver con sus protocolos de comunicación, técnicas de evasión y compatibilidad con diferentes modelos de dispositivos.
La actividad registrada hasta ahora muestra campañas cortas e intermitentes, centradas principalmente en aplicaciones de mensajería segura como WhatsApp, Telegram y Signal, y utilizando plantillas de ataque adaptadas según cada región.
Todo indica que los operadores están afinando sus herramientas para capturar conversaciones y datos sensibles, preparando el terreno para operaciones más organizadas y a gran escala.
Un detalle llamativo es que Sturnus no solo se enfoca en apps bancarias: también vigila constantemente qué aplicación está usando el usuario y activa en automático su recopilación del árbol de interfaz cuando detecta que la víctima abrió WhatsApp, Signal o Telegram.
Gracias a esto, puede ver el contenido que aparece en pantalla y extraer información privada sin necesidad de romper ningún cifrado.
El código de Sturnus está diseñado para comportarse de forma tan impredecible como el ave que inspira su nombre. Mezcla distintos tipos de comunicación (texto plano, RSA y AES) para dificultar su análisis y mantenerse oculto.
Cuando infecta un dispositivo, se registra enviando una solicitud HTTP, recibe un identificador único y una clave RSA, genera una clave AES-256 propia y la cifra antes de almacenarla. Desde ese momento, todo el tráfico se cifra con AES y viaja encapsulado para evitar que pueda ser rastreado.
En cuanto al robo de información, Sturnus combina dos métodos muy efectivos: pantallas superpuestas (overlays) y un keylogger basado en accesibilidad. El malware incluye plantillas de phishing creadas para apps bancarias específicas y las muestra como si fueran pantallas legítimas.
El usuario introduce sus datos sin sospechar que todo está siendo enviado al servidor del atacante. Una vez que las credenciales se han capturado, la superposición se desactiva para pasar desapercibida, e incluso puede mostrar una pantalla de bloqueo completa para ocultar su actividad.
El uso del Servicio de Accesibilidad de Android es uno de los puntos más fuertes del troyano. Sturnus registra texto, clics, desplazamientos y cambios completos en la interfaz, lo que le permite reconstruir cada acción del usuario, incluso cuando la captura de pantalla está deshabilitada. Gracias a esto puede obtener PIN, contraseñas y cualquier dato introducido en el teléfono.
Y aquí viene lo más delicado: como no intercepta la red, sino lo que se muestra en pantalla, Sturnus puede leer conversaciones completas en tiempo real, incluyendo contactos, mensajes entrantes y salientes y contenido privado. Esto le permite saltarse por completo el cifrado de extremo a extremo, accediendo a los mensajes una vez que la propia aplicación los descifra.
Además del robo de datos, el troyano ofrece a los atacantes un control remoto casi total del dispositivo. Puede reflejar la pantalla en tiempo real o, si eso falla, generar capturas a partir de los eventos de accesibilidad.
También utiliza un protocolo similar a VNC para manejar la sesión, permitiendo a los operadores interactuar con el móvil a distancia. Incluso envía un mapa estructurado de todos los elementos de la pantalla, lo que reduce el consumo de datos y evita alertas relacionadas con capturas de pantalla.
Para mantenerse activo, Sturnus protege los permisos de administrador, bloquea intentos de revocación y monitoriza todo lo que ocurre en el sistema: cambios de SIM, estado de la batería, nuevas apps instaladas, intentos de root, ajustes de desarrollador, entre otros. También analiza sensores, hardware y redes para adaptar su comportamiento y evitar ser detectado mientras mantiene el control a largo plazo.
En resumen, Sturnus no es un troyano más: es una amenaza sofisticada y completa diseñada para robar credenciales, espiar mensajes, capturar pulsaciones de teclas, duplicar la pantalla, permitir control remoto y vigilar cada rincón del dispositivo. La combinación de todas estas técnicas lo convierte en un riesgo serio para la privacidad y la seguridad financiera de cualquier usuario que resulte infectado.
Conoce más sobre: Maverick: El Malware de WhatsApp que Roba Cuentas Bancarias en Brasil
La mejor defensa contra Sturnus es combinar hábitos seguros con medidas de protección tanto personales como empresariales. A nivel individual, es clave instalar apps solo desde tiendas oficiales, evitar permisos innecesarios (especialmente accesibilidad, administrador del dispositivo y superposición de pantalla) y mantener Android siempre actualizado.
También ayuda activar Google Play Protect o un antivirus confiable, desconfiar de SMS sospechosos y usar doble autenticación para reducir riesgos incluso si una contraseña se ve comprometida. Prestar atención al rendimiento del móvil (batería, datos, apps extrañas) también puede alertar sobre una posible infección.
En el ámbito empresarial, es esencial contar con políticas claras de seguridad móvil, sobre todo si se utiliza BYOD. Soluciones MDM o MAM permiten controlar permisos, restringir instalaciones y detectar comportamientos anómalos. Adoptar un enfoque Zero Trust y capacitar al personal evita que ataques simples (como un SMS o una app falsa) terminen comprometiendo datos críticos.
Además, apoyarse en tecnologías XDR o EDR resulta clave: plataformas como las soluciones de XDR gestionado de TecnetOne permiten detectar y responder en tiempo real a actividades sospechosas en endpoints y dispositivos móviles, incluyendo amenazas avanzadas como Sturnus. Finalmente, un plan de respuesta a incidentes móviles garantiza que, ante cualquier compromiso, el dispositivo pueda aislarse, analizarse y limpiarse de manera segura.
Si quieres fortalecer la seguridad móvil de tu empresa o necesitas una evaluación, contáctanos y con gusto te asesoramos.