El laboratorio de ThreatFabric ha identificado un nuevo troyano bancario para Android, denominado Sturnus, que eleva el listón de las amenazas contra la banca móvil. Este malware combina capacidades clásicas de robo financiero con funciones avanzadas de remote access trojan (RAT), incluyendo control remoto completo vía VNC y monitorización de conversaciones en WhatsApp, Telegram y Signal, incluso cuando utilizan cifrado de extremo a extremo.
Qué es el troyano bancario Sturnus y por qué es especialmente peligroso
Sturnus pertenece a la familia de los troyanos bancarios Android, diseñados para vaciar cuentas bancarias y comprometer aplicaciones de pago. A diferencia de generaciones anteriores centradas casi exclusivamente en pantallas superpuestas (overlays) de phishing, este malware apuesta por el control remoto persistente del dispositivo, lo que dificulta su detección y neutralización.
El código malicioso integra varias capacidades críticas: captura de pantalla en tiempo real, abuso del Android Accessibility Service, solicitud de privilegios de administrador del dispositivo y uso de VNC para imitar de forma precisa las acciones del usuario. El resultado práctico es que el teléfono comprometido se transforma en un “terminal abierto” a disposición del operador del malware.
Vectores de infección: APK malicioso y distribución mediante malvertising
Las infecciones observadas comienzan con la instalación de un APK malicioso presentado como una aplicación legítima. ThreatFabric ha detectado falsificaciones de Google Chrome (paquete com.klivkfbky.izaybebnx) y de la app Preemix Box (paquete com.uvxuthoq.noscjahae). Estas aplicaciones fraudulentas suelen replicar iconos y nombres conocidos para generar una falsa sensación de confianza.
Aunque el vector de distribución principal aún no se ha confirmado, los analistas apuntan al uso de malvertising (publicidad maliciosa) y al envío directo de APK a través de mensajería y redes sociales. Este enfoque ya es habitual en campañas de otros troyanos bancarios Android como TeaBot o Anubis, y permite a los atacantes saltarse los controles de las tiendas oficiales.
Arquitectura de mando y control: cifrado con HTTPS, RSA y AES
Una de las fortalezas de Sturnus es su sofisticada infraestructura de comando y control (C2), que emplea una combinación de texto plano, RSA y AES para encapsular las comunicaciones. Tras la instalación, el malware se registra en el servidor C2 y establece dos canales diferenciados con los operadores.
Dos canales separados: HTTPS para órdenes y WebSocket cifrado para VNC
El primer canal utiliza HTTPS cifrado para recibir instrucciones y exfiltrar datos: información técnica del dispositivo, listas de aplicaciones bancarias, registros de actividad y posible contenido sensible. El segundo canal, basado en WebSocket protegido con AES, está optimizado para el tráfico en tiempo real de las sesiones VNC, permitiendo a los atacantes controlar el terminal con baja latencia.
Esta separación de canales —frecuente en los troyanos bancarios Android de última generación— complica el análisis del tráfico de red y facilita a los atacantes adaptar su infraestructura a distintos volúmenes de víctimas y campañas regionales.
Cómo Sturnus elude el cifrado de extremo a extremo en WhatsApp, Telegram y Signal
Un aspecto especialmente relevante de Sturnus es su capacidad para superar en la práctica el cifrado de extremo a extremo (E2EE) de las principales aplicaciones de mensajería. El malware no rompe la criptografía ni manipula claves: actúa en el punto final, cuando los mensajes ya han sido descifrados por la propia aplicación.
Mediante el abuso del Servicio de Accesibilidad de Android, una función legítima destinada a usuarios con dificultades visuales o motoras, Sturnus obtiene permiso para leer todo lo que aparece en pantalla: nombres de contactos, listas de chats, mensajes entrantes y salientes y notificaciones. Diversos informes de referencia, como el Verizon Data Breach Investigations Report, señalan que la comprometida del dispositivo final sigue siendo uno de los factores clave en las brechas de seguridad, incluso cuando se aplican cifrados robustos.
Control remoto vía VNC y robo de fondos en aplicaciones bancarias
Una vez consolidado el acceso, los operadores inician una sesión VNC que les permite manejar el teléfono como si lo tuvieran en la mano: pulsar botones, introducir códigos, cambiar entre apps, modificar ajustes de seguridad e incluso instalar más malware.
Durante las fases críticas de la operación, el usuario ve en su pantalla un overlay negro que oculta las acciones reales. Bajo esa “cortina”, el atacante puede iniciar y confirmar transferencias en aplicaciones bancarias, aprobar solicitudes de autenticación multifactor (MFA), modificar límites de operación, registrar nuevos dispositivos o abrir sesiones adicionales de banca en línea.
El troyano solicita además permisos de administrador del dispositivo, lo que dificulta enormemente su desinstalación: mientras mantenga esos privilegios, puede bloquear intentos de eliminación estándar e incluso acciones ejecutadas a través de ADB. Muchos usuarios solo revocan estos permisos cuando el daño económico ya se ha materializado.
Objetivos y alcance geográfico de las campañas con Sturnus
Según ThreatFabric, el foco principal de Sturnus son entidades financieras europeas. El malware incorpora plantillas de overlays adaptadas a la interfaz de bancos y aplicaciones de pago locales, lo que incrementa la tasa de éxito de los engaños al usuario.
La actividad observada se concentra, por ahora, en países de Europa Central y del Sur, con campañas de tamaño relativamente reducido. Este patrón encaja con una fase de “piloto controlado”: los operadores prueban su infraestructura y sus tácticas en mercados concretos antes de ampliar el radio de acción, una estrategia vista anteriormente en otras familias de malware financiero móvil.
Cómo proteger Android frente a troyanos bancarios avanzados como Sturnus
1. Instalar solo desde fuentes confiables. Mantener deshabilitada la instalación desde orígenes desconocidos y evitar APK recibidos por mensajería, SMS o correo, aunque aparenten ser de bancos, operadores o grandes marcas.
2. Vigilar los permisos de Accesibilidad y administrador. Revisar periódicamente qué aplicaciones tienen acceso al Android Accessibility Service y a los privilegios de administrador del dispositivo. Cualquier app desconocida con estos permisos es un indicador claro de riesgo.
3. Utilizar soluciones de seguridad móviles. Suites de seguridad, EDR móviles y servicios de protección de banca digital pueden detectar comportamientos anómalos, conexiones a servidores C2 sospechosos o intentos de elevar privilegios.
4. Formar a usuarios y empleados. En entornos corporativos es esencial capacitar a la plantilla sobre phishing móvil, riesgos de instalar APK externos y consecuencias de conceder permisos de accesibilidad a aplicaciones no verificadas.
El caso de Sturnus confirma que los troyanos bancarios para Android ya combinan funciones de spyware, troyano financiero y herramienta de administración remota. Más allá de confiar en el cifrado de extremo a extremo de los servicios de mensajería, usuarios y organizaciones deben reforzar la protección del dispositivo final: políticas estrictas de instalación de apps, monitorización continua y capacidad de respuesta rápida ante incidentes son hoy elementos imprescindibles de cualquier estrategia de ciberseguridad móvil.
