AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Sturnus, el nuevo troyano bancario para Android capaz de tomar control total del dispositivo y sortear cifrados de mensajería**

admin

### 1. Introducción

El panorama de amenazas móviles continúa evolucionando a un ritmo acelerado, y los actores maliciosos perfeccionan continuamente sus técnicas para comprometer la seguridad de los dispositivos y aplicaciones bancarias. En este contexto, investigadores de ThreatFabric han revelado la existencia de un sofisticado troyano bancario para Android denominado Sturnus, que destaca por su capacidad de sortear mecanismos de cifrado en apps de mensajería y por permitir la toma de control completa del dispositivo afectado.

### 2. Contexto del Incidente o Vulnerabilidad

La aparición de Sturnus se produce en un momento en el que los troyanos para Android representan una de las principales amenazas para entidades financieras y usuarios particulares. Este malware se suma a la tendencia de ataques dirigidos a aplicaciones bancarias europeas y latinoamericanas, donde el uso de técnicas de overlay, keylogging y manipulación remota de dispositivos (RAT) ha ido en aumento.

Según ThreatFabric, Sturnus ha sido detectado en campañas dirigidas principalmente contra aplicaciones bancarias y de mensajería cifrada, aprovechando la creciente confianza de los usuarios en sistemas de autenticación y comunicación seguros. La campaña ha empleado la distribución mediante aplicaciones falsas en tiendas de terceros y técnicas de ingeniería social para engañar a las víctimas y lograr la instalación del malware.

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Sturnus destaca por su arquitectura modular y su capacidad para evadir mecanismos convencionales de detección. Aunque por el momento no se le ha asignado un CVE específico, el troyano utiliza los siguientes vectores y técnicas:

– **Vectores de infección:** Distribución a través de APKs maliciosos camuflados como aplicaciones legítimas, frecuentemente mediante phishing por SMS (smishing) y enlaces en redes sociales.
– **Permisos abusivos:** Solicita permisos de accesibilidad (Accessibility Services), superponiendo pantallas y monitorizando la interacción del usuario.
– **Captura de pantalla tras descifrado:** A diferencia de otros troyanos, Sturnus es capaz de capturar información sensible directamente de la pantalla después de que la app legítima la haya descifrado, permitiéndole acceder a mensajes cifrados de extremo a extremo (por ejemplo, WhatsApp, Signal o Telegram).
– **Control remoto y RAT:** Implementa capacidades de control remoto similares a las de herramientas como Cobalt Strike, permitiendo a los atacantes realizar acciones en el dispositivo sin el conocimiento del usuario.
– **Overlay attacks:** Implementa superposición de pantallas falsificadas para robar credenciales de banca online.
– **TTPs MITRE ATT&CK:** Se corresponde con técnicas como T1078 (Valid Accounts), T1110 (Brute Force), T1056 (Input Capture), T1219 (Remote Access Software) y T1027 (Obfuscated Files or Information).
– **Indicadores de Compromiso (IoC):** Hashes de APK y dominios de C2 identificados ya han sido compartidos con la comunidad de inteligencia de amenazas.

### 4. Impacto y Riesgos

El impacto de Sturnus es significativo tanto para usuarios particulares como para entidades financieras, ya que permite:

– **Robo de credenciales bancarias y datos personales:** Mediante técnicas de overlay y keylogging.
– **Fraude financiero automatizado:** Los operadores pueden realizar transferencias no autorizadas y modificar parámetros de seguridad de las cuentas.
– **Acceso a conversaciones cifradas:** Al capturar datos tras el descifrado en pantalla, Sturnus rompe la confidencialidad de apps de mensajería protegidas.
– **Control completo del dispositivo:** Posibilidad de instalar aplicaciones adicionales, interceptar SMS para eludir 2FA y eliminar evidencias de la infección.
– **Afectación masiva:** Según ThreatFabric, decenas de miles de dispositivos podrían estar en riesgo, especialmente en mercados donde las apps de terceros son habituales.
– **Cumplimiento normativo:** Un incidente de este tipo puede conllevar sanciones importantes en el marco de la GDPR y la directiva NIS2, dada la potencial exposición de datos sensibles y la interrupción de servicios críticos.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a Sturnus, se recomienda:

– **Restringir la instalación de apps fuera de Google Play Store** y verificar la legitimidad de cualquier aplicación antes de instalarla.
– **Reforzar políticas de mínimo privilegio** en la concesión de permisos de accesibilidad.
– **Monitorizar IoCs publicados** por ThreatFabric y actualizar las reglas de detección en EDR y soluciones MTD (Mobile Threat Defense).
– **Formar a los usuarios** en la identificación de intentos de phishing y smishing.
– **Implementar autenticación fuerte** y mecanismos de verificación fuera de banda para operaciones bancarias.
– **Actualizar las aplicaciones bancarias** y de mensajería a sus versiones más recientes, priorizando aquellas con mecanismos anti-overlay.
– **Monitorizar logs y eventos sospechosos** en los dispositivos de empleados y clientes.

### 6. Opinión de Expertos

Especialistas en ciberseguridad, como los analistas de ThreatFabric y consultores independientes, destacan que la capacidad de Sturnus para monitorizar aplicaciones cifradas representa un salto cualitativo en la sofisticación de troyanos móviles. “El hecho de que Sturnus capture el contenido ya descifrado en pantalla elimina la protección que ofrecen los protocolos de cifrado de extremo a extremo”, subrayan, “lo que obliga a replantear el diseño de ciertas apps críticas y los mecanismos de defensa en el endpoint móvil”.

### 7. Implicaciones para Empresas y Usuarios

Para las entidades financieras, Sturnus supone un desafío adicional en la protección del canal móvil y la prevención del fraude. La detección temprana y la respuesta rápida ante incidentes serán clave para evitar pérdidas económicas y daños reputacionales. Para los usuarios, el riesgo de que sus credenciales y conversaciones privadas sean sustraídas y explotadas por cibercriminales exige una mayor concienciación y precaución frente a apps de procedencia dudosa.

### 8. Conclusiones

La aparición de Sturnus evidencia la profesionalización y el avance del malware bancario para Android, que ya no solo roba credenciales, sino que es capaz de sortear cifrados y tomar el control total del dispositivo. La defensa frente a estas amenazas requiere un enfoque integral, que combine tecnología, formación y colaboración en la compartición de inteligencia de amenazas. Las organizaciones deben fortalecer sus estrategias de seguridad móvil y los usuarios extremar la precaución en la gestión de sus dispositivos.

(Fuente: feeds.feedburner.com)