Investigadores de ciberseguridad han revelado detalles sobre un nuevo troyano bancario para Android llamado “ Sturno Esto permite el robo de credenciales y la apropiación completa del dispositivo para cometer fraude financiero.
“Un diferenciador clave es la capacidad de evitar mensajes cifrados”, dijo ThreatFabric en un informe compartido con The Hacker News. “Al capturar contenido directamente desde la pantalla del dispositivo después del descifrado, Sturnus puede monitorear las comunicaciones a través de WhatsApp, Telegram y Signal”.
Otra característica notable es la capacidad de organizar ataques de superposición mediante la implementación de pantallas de inicio de sesión falsas a través de aplicaciones bancarias para capturar las credenciales de las víctimas. Según la empresa holandesa de seguridad móvil, Sturnus es de gestión privada y actualmente se encuentra en fase de evaluación. Los artefactos que propagan el malware bancario se enumeran a continuación:
- Google Chrome (“com.klivkfbky.izaybebnx”)
- Caja de premezcla (“com.uvxuthoq.noscjahae”)
El malware fue diseñado específicamente para atacar a instituciones financieras del sur y centro de Europa con superposiciones específicas de la región.
El nombre Sturnus es una referencia a su uso de un patrón de comunicación mixto de texto plano, AES y RSA, y ThreatFabric lo compara con el estornino europeo (nombre binomial: Sturnus vulgaris), que contiene una variedad de silbidos y se conoce como imitador vocal.
Una vez iniciado, el troyano se pone en contacto con un servidor remoto a través de canales WebSocket y HTTP para registrar el dispositivo y recibir a cambio cargas útiles cifradas. También establece un canal WebSocket que permite a los actores de amenazas interactuar con el dispositivo Android comprometido durante las sesiones de Virtual Network Computing (VNC).
Además de proporcionar superposiciones falsas a aplicaciones bancarias, Sturnus también es capaz de abusar de los servicios de accesibilidad de Android para capturar pulsaciones de teclas y registrar interacciones de la interfaz de usuario (UI). Una vez que se entrega a la víctima una superposición de un banco y se interceptan las credenciales, la superposición para ese objetivo específico se desactiva para no despertar sospechas por parte del usuario.
Además, se puede mostrar una superposición de pantalla completa que bloquea toda retroalimentación visual e imita la pantalla de actualización del sistema operativo Android para darle al usuario la impresión de que hay actualizaciones de software en progreso, cuando en realidad esto permite que se lleven a cabo acciones maliciosas en segundo plano.
Otras características del malware incluyen soporte para monitoreo de actividad del dispositivo y el uso de servicios de accesibilidad para recopilar contenido de chat de Signal, Telegram y WhatsApp y enviar detalles a cada elemento de la interfaz visible en la pantalla.
Esto permite a los atacantes reconstruir el diseño de su página y realizar de forma remota acciones relacionadas con clics, entrada de texto, desplazamiento, inicio de aplicaciones, confirmaciones de permisos e incluso habilitar una superposición de pantalla negra. Un mecanismo de control remoto alternativo integrado en Sturnus aprovecha el marco de captura de pantalla del sistema para reflejar la pantalla del dispositivo en tiempo real.
“Cada vez que el usuario navega a pantallas de configuración que podrían desactivar su estado de administrador, el malware detecta el intento a través del monitoreo de accesibilidad, identifica los controles relevantes y automáticamente sale de la página para interrumpir al usuario”, dijo ThreatFabric.
“A menos que los privilegios administrativos se revoquen manualmente, se bloqueará tanto la desinstalación normal como la eliminación mediante herramientas como ADB, lo que proporciona al malware una fuerte protección contra los intentos de limpieza”.
Las amplias capacidades de monitoreo ambiental permiten la recopilación de información de sensores, condiciones de la red, datos de hardware y un inventario de aplicaciones instaladas. Este perfil de dispositivo sirve como un circuito de retroalimentación continua, ayudando a los atacantes a adaptar sus tácticas en función de la detección de evasión.
“Aunque la propagación es limitada en este momento, la combinación de una geografía específica y el enfoque en aplicaciones de alto valor sugiere que los atacantes están refinando sus herramientas antes de realizar operaciones más amplias o más coordinadas”, dijo ThreatFabric.
About The Author
