Este es el nuevo malware en Android que lee tus mensajes de WhatsApp… incluso aunque estén cifrados

Malware en Android
Malware en AndroidGenerada con IA

Han localizado un nuevo malware avanzado para Android, capaz de robar mensajes de WhatsApp, Signal y Telegram tras su descifrado, y que además permite el control remoto total del móvil.

Investigadores de seguridad han encontrado un nuevo troyano bancario para Android bautizado como Sturnus, capaz de capturar comunicaciones en plataformas cifradas como Signal, Telegram y WhatsApp.

Se trata de una amenaza que incluso incorpora configuraciones para robar cuentas de múltiples instituciones financieras europeas mediante plantillas de superposición.

Según los investigadores de ThreatFabric, este troyano llamado Sturnus emplea técnicas de recopilación de comunicaciones en texto plano, además de cifrado RSA para esos intercambios con el servidor de mando y control.

Lo más preocupante es que puede acceder a mensajes cifrados tras su descifrado, capturando su contenido directamente desde la pantalla del dispositivo. El proceso de infección comienza con la descarga de una APK maliciosa que se hace pasar por aplicaciones conocidas como Chrome.

Una vez instalado el troyano se registra en la infraestructura C2, realiza el intercambio criptográfico y establece dos canales cifrados: uno por HTTPS para los comandos y otro mediante WebSocket cifrado.

El malware abusa de los servicios de accesibilidad de Android para funcionar, pudiendo leer texto en pantalla, registrar pulsaciones, detectar qué aplicaciones se abren, pulsar botones, desplazarse por menús o incluso escribir el nombre de usuario.

Además, es capaz de obtener privilegios de administrador del dispositivo, lo que dificulta enormemente su eliminación.

Cuando el usuario abre apps de mensajería, el dispositivo ya infectado permite al troyano detectar contenidos, textos tecleados, nombres de contacto y conversaciones completas. De este modo evita por completo el cifrado extremo a extremo, accediendo a los mensajes una vez que las aplicaciones los muestran.

El modo VNC permite a los ciberdelincuentes tomar el control del dispositivo sin que la víctima lo note.

Los investigadores también han identificado superposiciones falsas, como pantallas de supuestas actualizaciones del sistema, utilizadas para encubrir movimientos maliciosos o autorizar transferencias bancarias.

De momento, el troyano bancario se está expandiendo en zonas de Europa del Sur y Central, por lo que se recomienda estar muy atento ante su posible llegada al resto del territorio.

Más información sobre: