Un nuevo troyano bancario para Android, denominado Sturnus, ha sido descubierto con la capacidad de interceptar comunicaciones desde plataformas de mensajería con cifrado de extremo a extremo como Signal, WhatsApp y Telegram. Además, este malware puede tomar control total del dispositivo infectado.
Aunque aún se encuentra en desarrollo, Sturnus es completamente funcional y ha sido configurado para atacar cuentas de múltiples organizaciones financieras en Europa, utilizando “plantillas de superposición específicas de la región”.
Sturnus representa una amenaza más avanzada que las familias de malware Android actuales, empleando una combinación de comunicación en texto plano, cifrado RSA y AES con el servidor de comando y control (C2).
El malware roba las credenciales bancarias utilizando superposiciones HTML y permite el control remoto completo en tiempo real a través de sesiones VNC. La infección comienza con la descarga de archivos APK maliciosos disfrazados como aplicaciones de Google Chrome o Preemix Box.
Después de la instalación, el malware se conecta a la infraestructura C2 para registrar a la víctima mediante un intercambio criptográfico. Establece un canal HTTPS cifrado para comandos y exfiltración de datos, y un canal WebSocket cifrado con AES para operaciones VNC en tiempo real y monitoreo en vivo.
Al abusar de los servicios de Accesibilidad en el dispositivo, Sturnus puede leer el texto en pantalla, capturar las entradas de la víctima, observar la estructura de la interfaz de usuario, detectar el lanzamiento de aplicaciones, presionar botones, desplazarse, inyectar texto y navegar por el teléfono. Para obtener el control total, obtiene privilegios de Administrador de Dispositivos Android, permitiéndole rastrear cambios de contraseña, intentos de desbloqueo y bloquear el dispositivo de forma remota. El malware también intenta evitar que el usuario revoque sus privilegios o lo desinstale.
Cuando el usuario abre WhatsApp, Telegram o Signal, Sturnus utiliza sus permisos para detectar el contenido de los mensajes, el texto escrito, los nombres de los contactos y el contenido de las conversaciones. Esta capacidad es particularmente peligrosa ya que evita el cifrado de extremo a extremo al acceder a los mensajes después de que son descifrados por la aplicación legítima.
El modo VNC permite a los atacantes hacer clic en botones, ingresar texto, desplazarse y navegar por el sistema operativo y las aplicaciones, todo impulsado por Accesibilidad. Pueden habilitar una superposición negra y realizar acciones que permanecen ocultas para la víctima, incluyendo transferencias de dinero desde aplicaciones bancarias, confirmación de diálogos, aprobación de pantallas de autenticación multifactor, cambio de configuraciones o instalación de nuevas aplicaciones.
Se aconseja a los usuarios de Android evitar la descarga de archivos APK desde fuera de Google Play, mantener Play Protect activo y evitar otorgar permisos de Accesibilidad a menos que sea realmente necesario.
En INGENIERÍA TELEMÁTICA SAS, estamos comprometidos con la seguridad de su información. Dada la sofisticación de amenazas como Sturnus, le invitamos a contactarnos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente, para evaluar sus necesidades de seguridad y ofrecerle soluciones integrales como EDR/XDR, protección de correo electrónico y soluciones de nube segura que le ayudarán a protegerse contra este tipo de malware.
Fuente original: Ver aquí