Sturnus es un nuevo troyano bancario para Android que se presenta como una de las amenazas más fuertes que hemos visto en un largo período. Aunque todavía está en una etapa temprana de desarrollo, ya se comporta como una operación totalmente desarrollada. Cuando infecta un dispositivo, tiene la capacidad de apoderarse de la pantalla, sustraer las credenciales bancarias e incluso acceder a conversaciones cifradas en aplicaciones confiables. Lo que inquieta es su funcionamiento silencioso en segundo plano. Piensas que tus mensajes están protegidos porque están cifrados de extremo a extremo, pero este malware solo aguarda a que el teléfono los descifre para hurtarlos. No obstante, es fundamental considerar que Sturnus no descifra el cifrado; simplemente toma los mensajes luego de que las aplicaciones descifran en el aparato.
Una observación más detallada de las habilidades del malware
Según ha informado Threat Fabric, una compañía de investigación en ciberseguridad, Sturnus combina distintas capas de ataque para proporcionar al operador una visión casi completa del dispositivo. Aplica superposiciones HTML que simulan aplicaciones bancarias auténticas para confundir al usuario y forzarlo a ingresar sus credenciales. Todo lo que introduce se envía al atacante inmediatamente mediante una vista web que reenvía los datos. Además, implementa un sistema de registro de pulsaciones de teclas agresivo por medio del servicio de accesibilidad que ofrece Android. Esto le posibilita la captura de texto mientras redacta, conocer qué aplicación está abierta y crear un mapa de cada elemento de la interfaz gráfica del usuario en la pantalla. El malware continúa rastreando el árbol de la interfaz de usuario en tiempo real, aun cuando las aplicaciones bloquean las capturas de pantalla; esto es suficiente para poder reconstruir lo que está haciendo.
Además de las superposiciones y el keylogging, el malware supervisa aplicaciones de mensajería como WhatsApp, Telegram y Signal. Espera a que estas aplicaciones desencripten los mensajes de manera local y, después, toma el texto directamente desde la pantalla. Esto quiere decir que tus conversaciones pueden seguir codificadas en la red, pero cuando el mensaje se muestra en tu pantalla, Sturnus puede ver todo el diálogo. Además, cuenta con una función completa de control remoto que transmite la pantalla en vivo y un modo más eficaz que únicamente envía datos de la interfaz. Esto posibilita la aprobación de permisos, el desplazamiento, la inyección de texto y las pulsaciones exactas sin que la víctima note ninguna acción.
Cómo Sturnus permanece encubierto y hurta dinero
El malware se resguarda tomando los privilegios de administrador del aparato y deteniendo cualquier esfuerzo por eliminarlo. Sturnus lo detecta de inmediato y lo elimina de la pantalla antes de que tenga la oportunidad de actuar si abre la página de configuración que podría permitirle deshabilitar esos permisos. Además, para determinar cómo proceder, supervisa la condición de la batería, los cambios de SIM, el modo desarrollador, las circunstancias de la red e incluso señales de investigación forense. Toda esta información se transmite al servidor de control y comando a través de una mezcla de canales HTTP y WebSocket, los cuales están protegidos con cifrado AES y RSA.
En cuanto al robo financiero, existen diversos métodos por los cuales el malware puede hacerse con sus cuentas. Es posible recolectar credenciales a través de la inyección directa de texto, el registro de pulsaciones en las teclas, la superposición y el monitoreo del árbol de interfaz de usuario. En caso de ser necesario, puede oscurecer la pantalla con un superposición total mientras el agresor lleva a cabo transacciones fraudulentas en segundo plano. Debido a que la pantalla está oculta, no se entera de lo que ocurre hasta que ya es demasiado tarde.
Siete formas de protegerse del malware en Android como Sturnus
Si quiere protegerse de amenazas como esta, aquí hay algunas acciones concretas que puede empezar a tomar inmediatamente.
1) Instale aplicaciones únicamente de fuentes fidedignas y verificadas.
Evite la descarga de APKs desde sitios web que sean sospechosos, grupos de Telegram, tiendas de aplicaciones ajenas o vínculos reenviados. El malware bancario se difunde de manera más efectiva a través de instaladores laterales que tienen la apariencia de actualizaciones, cupones o nuevas funcionalidades. Si requiere una aplicación que no se encuentra en Play Store, asegúrese de que no haya sido pirateada al verificar el sitio web oficial del desarrollador, examinar los hashes (si existen) y leer reseñas recientes.
2) Antes de presionar permitir, revise con atención las solicitudes de permiso.
La mayor parte del malware dañino requiere permisos de accesibilidad, porque estos posibilitan ver la pantalla y las interacciones en su totalidad. Los derechos de administrador del aparato son todavía más relevantes, porque tienen la capacidad de evitar su supresión. Si una aplicación sencilla de utilidad las pide de manera repentina, deténgase inmediatamente. Estas autorizaciones únicamente deben otorgarse a las aplicaciones que verdaderamente las requieran, como herramientas de accesibilidad confiables o gestores de contraseñas.
3) Mantén tu móvil al día.
Es recomendable que instales las actualizaciones de sistema tan pronto como estén disponibles, porque muchos troyanos bancarios para Android atacan a los dispositivos más viejos que no cuentan con los últimos parches de seguridad. Si tu teléfono ya no recibe actualizaciones, tienes un riesgo más alto, sobre todo cuando utilizas aplicaciones de finanzas. No instales ROM personalizadas a no ser que conozcas cómo funcionan Google Play Protect y los parches de seguridad.
4) Haga uso de un software antivirus eficaz
Los teléfonos Android incluyen Google Play Protect, que identifica numerosas familias de malware conocidas y te notifica si las apps actúan de manera sospechosa. Sin embargo, si deseas más control y seguridad, escoge una app antivirus de terceros. Estas herramientas son capaces de notificarte cuando una aplicación empieza a grabar la pantalla o trata de tomar el control de tu teléfono.
La mejor forma de protegerse contra enlaces dañinos que instalan malware y que podrían acceder a su información personal es contar con un software antivirus eficaz en cada uno de sus dispositivos. Esta protección además tiene la capacidad de notificarle acerca de fraudes de ransomware y correos electrónicos phishing, asegurando así sus activos digitales e información personal.
5) Emplee un servicio para borrar datos personales.
Numerosas de estas campañas se fundamentan en intermediarios de datos, bases de datos filtradas y perfiles que se han obtenido para conformar listas de individuos objetivo. Es mucho más sencillo para los atacantes comunicarse contigo a través de enlaces de malware o estafas personalizadas si tu número telefónico, correo electrónico, dirección postal o perfiles en redes sociales están disponibles en múltiples páginas web de intermediarios. Un servicio para eliminar datos personales contribuye a borrar esa huella, suprimendo tu información de los listados de intermediarios de datos.
A pesar de que no hay ningún servicio capaz de asegurar la completa eliminación de tus datos en Internet, un servicio para borrar datos es una alternativa inteligente. No son asequibles, ni tampoco tu privacidad. Estos servicios eliminan de manera sistemática y monitorean activamente tu información personal en cientos de páginas web, haciendo todo el trabajo por ti. Es lo que me da tranquilidad y ha demostrado ser la forma más eficaz de borrar tus datos personales de internet. Si limitas la información que está disponible, disminuyes el peligro de que los estafadores utilicen datos de filtraciones y los crucen con información que puedan hallar en la dark web, lo cual hace más difícil que te ataquen.
6) Considere las pantallas de inicio de sesión y los cuadros emergentes extraños como indicios de advertencia
Cuando se abre la aplicación de un banco o un servicio que tenga popularidad, es común que surjan superposiciones de troyanos. Si la pantalla tiene un aspecto distinto o te solicita credenciales de una manera que no identificas, cierra completamente la aplicación. Desde el menú de aplicaciones, vuelve a abrirla y verifica si aparece nuevamente. Si no es así, es probable que te hayas topado con una superposición. No escribas jamás tus datos bancarios en pantallas que surgen repentinamente o que parecen no estar en su lugar.
7) Preste atención a los archivos adjuntos y enlaces que reciba.
Los atacantes suelen propagar malware a través de archivos adjuntos en correos electrónicos, enlaces de WhatsApp y mensajes SMS que pretenden ser facturas, devoluciones de dinero o actualizaciones sobre la entrega. Si le llega un enlace inesperado, busque el servicio manualmente en el navegador. No instale ningún archivo que venga de un mensaje, incluso si parece venir de alguien conocido. Un procedimiento de envío común es el uso de cuentas comprometidas.
Sturnus es una familia de malware relativamente nueva, pero ya se distingue por el amplio control que proporciona a los atacantes. Evita la mensajería cifrada, roba datos bancarios con diversos métodos de respaldo y mantiene un control riguroso del aparato a través de privilegios administrativos y revisiones constantes del entorno. A pesar de que las campañas actuales son limitadas, el grado de sofisticación que tienen indica una amenaza que se está refinando para llevar a cabo operaciones de mayor envergadura. Si llega a tener una difusión extensa, puede llegar a ser uno de los troyanos bancarios para Android más perjudiciales que están en circulación.
¿Te han tratado de engañar alguna vez para que instales una aplicación o presiones un enlace? ¿Cómo lo solucionaste? Házmelo saber en los comentarios.
