Investigadores de ciberseguridad han detectado Sturnus, un sofisticado malware para Android que se distribuye disfrazado de apps conocidas. Este troyano no rompe el cifrado de extremo a extremo, sino que espera a que el contenido esté en pantalla para capturarlo, robando mensajes de WhatsApp y Signal.
Lee también: Elon Musk predice que trabajar será opcional en un futuro donde la IA y los robots harán “ricos a todos”
Además, puede conceder al atacante el control total y remoto del dispositivo, ejecutando acciones bancarias o modificando configuraciones sin que el usuario lo note.
Un espía de alto nivel con control total
Sturnus ha encendido las alarmas en Europa por su nivel de refinamiento y su doble capacidad de ataque: robo de información cifrada y control remoto total del sistema Android.
La principal preocupación es su capacidad para evadir la máxima capa de seguridad de aplicaciones como WhatsApp y Signal: el cifrado de extremo a extremo. Sturnus logra esto mediante una técnica conocida como “captura de pantalla de accesibilidad”.
El malware solicita permisos de accesibilidad (diseñados para usuarios con discapacidades). Una vez concedidos, el troyano observa todo lo que aparece en la pantalla del usuario.
En lugar de intentar descifrar los mensajes, Sturnus simplemente espera a que la aplicación de mensajería muestre el contenido ya descifrado al usuario y lo captura visualmente en ese momento.
De esta forma, el troyano accede tanto a los mensajes enviados como a los recibidos, sin necesidad de vulnerar la criptografía de la plataforma.
El control remoto cifrado
Además del espionaje, Sturnus puede establecer una sesión de control remoto cifrada con el atacante. Esto le permite: Ejecutar gestos, pulsaciones y desplazamientos, navegando por el teléfono a distancia.
Abrir aplicaciones bancarias para robar credenciales mediante la superposición de ventanas falsas ( overlay ) idénticas a las de los bancos. Modificar configuraciones sensibles y garantizar su permanencia en el sistema.
Cómo se infiltra y por qué es difícil de eliminar
Sturnus se infiltra en el dispositivo de las siguientes maneras: Disfrazado de Apps Populares: El malware se distribuye a través de tiendas no oficiales (marketplaces de terceros) en forma de archivos APK, haciéndose pasar por aplicaciones conocidas, incluidos navegadores y herramientas de sistema.
Privilegios de Administrador: Una vez instalado, Sturnus solicita privilegios de administrador del dispositivo. Si el usuario los otorga, el troyano se vuelve extremadamente difícil de eliminar de los ajustes convencionales.
Los expertos consideran que la actividad registrada hasta ahora es una fase limitada de pruebas, lo que sugiere que los operadores están ajustando sus técnicas antes de lanzar una expansión masiva y más agresiva.
Medidas clave para proteger su dispositivo Android
La vigilancia y el sentido común son las principales barreras contra esta amenaza avanzada:
- Evite Archivos APK Externos: Nunca instale aplicaciones desde fuentes externas o tiendas de terceros. Descargue apps únicamente desde la Google Play Store oficial.
- Permisos de Accesibilidad: Sea extremadamente escéptico con cualquier aplicación que solicite permisos de accesibilidad sin una función clara y justificada (como una app de asistente). Estos permisos son la puerta de entrada para la mayoría de los troyanos modernos.
- Actualizaciones y Protección: Mantenga su sistema operativo Android y sus herramientas de seguridad activas y actualizadas regularmente.
- Revisar Permisos: Revise periódicamente la lista de aplicaciones que tienen permisos de administrador del dispositivo y revoque cualquier app sospechosa.