🦠 Sturnus: el troyano que lee tus chats cifrados y toma control total de tu Android
¿De qué sirve usar WhatsApp, Telegram o Signal si un malware puede leer todo lo que ves en pantalla —en tiempo real— sin romper la encriptación?
Ese es el nivel de amenaza que trae Sturnus, el nuevo troyano bancario para Android que ya preocupa a la industria por su capacidad de espionaje y control total del dispositivo.
🔍 ¿Qué es Sturnus y por qué debe importarte si trabajas en TI?
Sturnus es un troyano bancario avanzado para Android que roba credenciales, captura mensajes de apps cifradas y permite a los atacantes tomar control absoluto del dispositivo.
A diferencia de otras amenazas móviles, Sturnus no intenta descifrar la comunicación.
Hace algo mucho más simple… y mucho más efectivo:
lee directamente lo que aparece en la pantalla, usando abusos del servicio de accesibilidad de Android.
Esto le permite:
-
Capturar chats de WhatsApp, Telegram, Signal, Messenger o cualquier app.
-
Leer mensajes entrantes y salientes.
-
Ver nombres, contactos y todo lo escrito.
-
Registrar interacciones en tiempo real sin generar tráfico sospechoso.
🛠️ Técnicas que lo hacen tan peligroso
1️⃣ Captura de pantalla en tiempo real (bypass a cifrado)
El malware aprovecha los servicios de accesibilidad para leer el contenido ya descifrado por la app, sin tocar el cifrado ni el tráfico en red.
2️⃣ Overlays para robar contraseñas
Puede desplegar pantallas falsas que imitan:
-
Actualizaciones del sistema
-
Pantallas de bancos
-
Formularios de login
Así roba credenciales sin levantar sospechas.
3️⃣ Control remoto por VNC
Sturnus convierte el teléfono en un dispositivo totalmente manejable por los atacantes:
-
Ven tu pantalla
-
Hacen clics
-
Navegan apps
-
Ejecutan transacciones
Todo desde un panel remoto.
4️⃣ Privilegios administrativos
Obtiene permisos de “Administrador del dispositivo”, lo que:
-
Impide su desinstalación
-
Permite bloquear la pantalla
-
Le da control profundo del sistema
5️⃣ Comunicación cifrada con C2
Mantiene una conexión segura para recibir instrucciones, actualizar módulos y adaptar sus técnicas para evadir detección.
🌍 ¿Dónde se ha detectado?
Por ahora, su propagación es limitada, principalmente en:
-
Europa Central
-
Europa del Sur
Esto sugiere que los atacantes están probando y puliendo el malware antes de lanzarlo a gran escala.
📱 ¿Cómo proteger dispositivos Android en entornos corporativos o personales?
Acciones recomendadas para equipos de TI, soporte y usuarios técnicos:
✔️ Evitar APKs fuera de tiendas oficiales
La mayoría de infecciones provienen de instaladores externos.
✔️ Revisar permisos de accesibilidad y administrador
Si ves una app rara con permisos críticos: red flag inmediata.
✔️ Mantener Play Protect activado
Algunos usuarios lo desactivan sin saber el riesgo que implica.
✔️ Usar soluciones móviles de EDR o MDM
Especialmente en empresas con BYOD o personal en campo.
✔️ Educar al usuario final
Explicar la diferencia entre apps legítimas y “instala esto para actualizar tu cuenta”.
✔️ Mantener Android y apps actualizados
Parches recientes limitan vectores que este tipo de malware explota.
⚠️ Conclusión
Sturnus eleva el nivel de las amenazas móviles:
ya no se limita a leer SMS o interceptar tráfico, sino que ve lo mismo que ve el usuario, rompe la barrera psicológica de la “app confiable” y abre la puerta a espionaje, robo financiero y control absoluto del dispositivo.
Para quienes trabajamos en TI, este tipo de malware deja un mensaje claro:
la seguridad móvil es ya tan crítica como la del endpoint corporativo.