Un nuevo troyano bancario despliega una capacidad inusual, ya que además de robar las credenciales de las aplicaciones bancarias de sus víctimas, monitoriza las comunicaciones en servicios de mensajería encriptada como WhatsApp, Telegram y Signal.
Sturnus es una nueva amenaza para los usuarios de dispositivos Android, que opera una empresa privada y distribuye en campañas 'phishing', principalmente contra usuarios de aplicaciones bancarias en Europa.
La investigación realizada por ThreatFabric revela que, aunque es plenamente funcional, puede encontrarse en sus primeras fases operativas, de cara a una campaña mucho más amplia, como explica en comunicado compartido en su blog oficial.
Es ya una amenaza sofisticada, que puede robar credenciales bancarias mediante la superposición de capas que muestran inicios de sesión falsos pero que imitan a las de las aplicaciones legítimas. También proporciona a los cibercriminales el control completo del dispositivo infectado, para monitorizar la actividad de la víctima y esconder su propia actividad maliciosa.
Sin embargo, lo destacado de esta amenaza es su capacidad para comprometer plataformas de mensajería segura ampliamente utilizadas, como WhatsApp, Telegram y Signal. Estas utilizan la encriptación de extremo a extremo para proteger el contenido de las comunicaciones de los usuarios, impidiendo que cualquiera ajeno a la conversación acceda a él.
Sturnus monitoriza las aplicaciones abiertas en primer plano y, con los permisos del Servicio de Accesibilidad concedidos, puede leer todo lo que aparece en pantalla. Es decir, no es que retire la encriptación de los mensajes, sino que espera a que la propia aplicación de mensajería los desencripte y se los muestre al usuario para interceptarlos sin llamar la atención.
De esta forma, elude por completo el cifrado de extremo a extremo y hace que las conversaciones de sus víctimas dejen de ser privadas, poniendo en riesgo cualquier dato sensible o confidencial que compartan en ellas.
