Investigadores de ciberseguridad han revelado detalles de un nuevo troyano bancario para Android llamado Estornino que permite el robo de credenciales y la apropiación total del dispositivo para realizar fraude financiero.
«Un diferenciador clave es su capacidad para evitar mensajes cifrados», dijo ThreatFabric en un informe compartido con The Hacker News. «Al capturar contenido directamente desde la pantalla del dispositivo después del descifrado, Sturnus puede monitorear las comunicaciones a través de WhatsApp, Telegram y Signal».
Otra característica notable es su capacidad para organizar ataques de superposición al mostrar pantallas de inicio de sesión falsas encima de las aplicaciones bancarias para capturar las credenciales de las víctimas. Según la empresa holandesa de seguridad móvil, Sturnus es de gestión privada y actualmente se encuentra en la fase de evaluación. Los artefactos que distribuyen el malware bancario se enumeran a continuación:
- Google Chrome («com.klivkfbky.izaybebnx»)
- Caja de premezcla («com.uvxuthoq.noscjahae»)
El malware ha sido diseñado para identificar específicamente a las instituciones financieras del sur y centro de Europa con superposiciones específicas de cada región.
El nombre Sturnus es un guiño a su uso de un patrón de comunicación mixto que combina texto sin formato, AES y RSA, y ThreatFabric lo compara con el estornino europeo (nombre binomial: Sturnus vulgaris), que incorpora una variedad de silbidos y es conocido por ser un imitador vocal.
El troyano, una vez iniciado, contacta a un servidor remoto a través de canales WebSocket y HTTP para registrar el dispositivo y recibir a cambio cargas útiles cifradas. También establece un canal WebSocket para permitir que los actores de amenazas interactúen con el dispositivo Android comprometido durante las sesiones de Virtual Network Computing (VNC).
Además de ofrecer superposiciones falsas para aplicaciones bancarias, Sturnus también es capaz de abusar de los servicios de accesibilidad de Android para capturar pulsaciones de teclas y registrar interacciones de la interfaz de usuario (UI). Tan pronto como se entrega a la víctima una superposición de un banco y se recopilan las credenciales, la superposición para ese objetivo específico se desactiva para no despertar sospechas del usuario.
Además, puede mostrar una superposición de pantalla completa que bloquea toda retroalimentación visual e imita la pantalla de actualización del sistema operativo Android para dar la impresión al usuario de que hay actualizaciones de software en progreso, cuando, en realidad, permite que se lleven a cabo acciones maliciosas en segundo plano.
Algunas de las otras características del malware incluyen soporte para monitorear la actividad del dispositivo, así como aprovechar los servicios de accesibilidad para recopilar contenidos de chat de Signal, Telegram y WhatsApp cuando los abre la víctima, y enviar detalles sobre cada elemento de la interfaz visible en la pantalla.
Esto permite a los atacantes reconstruir el diseño por su cuenta y realizar de forma remota acciones relacionadas con clics, entrada de texto, desplazamiento, inicio de aplicaciones, confirmaciones de permisos e incluso habilitar una superposición de pantalla en negro. Un mecanismo de control remoto alternativo incluido en Sturnus utiliza el marco de captura de pantalla del sistema para reflejar la pantalla del dispositivo en tiempo real.
«Cada vez que el usuario navega a pantallas de configuración que podrían desactivar su estado de administrador, el malware detecta el intento a través del monitoreo de accesibilidad, identifica los controles relevantes y automáticamente sale de la página para interrumpir al usuario», dijo ThreatFabric.
«Hasta que sus derechos de administrador sean revocados manualmente, tanto la desinstalación ordinaria como la eliminación a través de herramientas como ADB quedan bloqueadas, lo que brinda al malware una fuerte protección contra los intentos de limpieza».
Las amplias capacidades de monitoreo del entorno permiten recopilar información de sensores, condiciones de la red, datos de hardware y un inventario de aplicaciones instaladas. Este perfil de dispositivo sirve como un circuito de retroalimentación continua, ayudando a los atacantes a adaptar sus tácticas para eludir la detección.
«Aunque la propagación sigue siendo limitada en esta etapa, la combinación de una geografía específica y un enfoque en aplicaciones de alto valor implica que los atacantes están refinando sus herramientas antes de operaciones más amplias o más coordinadas», dijo ThreatFabric.