Los investigadores de ciberseguridad han revelado detalles de un nuevo troyano bancario para Android llamado Saturno que permite el robo de credenciales y la apropiación total de los dispositivos para llevar a cabo fraudes financieros.
«Un factor diferenciador clave es su capacidad para eludir la mensajería cifrada», ThreatFabric dijo en un informe compartido con The Hacker News. «Al capturar el contenido directamente desde la pantalla del dispositivo después de descifrarlo, Sturnus puede monitorear las comunicaciones a través de WhatsApp, Telegram y Signal».
Otra característica destacable es su capacidad para organizar ataques superpuestos mediante la colocación de pantallas de inicio de sesión falsas en las aplicaciones bancarias para capturar las credenciales de las víctimas. Según la empresa holandesa de seguridad móvil, Sturnus es una empresa privada y actualmente se considera que se encuentra en fase de evaluación. Los artefactos que distribuyen el malware bancario se enumeran a continuación:
- Google Chrome («com.klivkfbky.izaybebnx»)
- Preemix Box («com.uvxuthoq.noschahae»)
El malware se ha diseñado para identificar específicamente a las instituciones financieras del sur y centro de Europa con superposiciones específicas para cada región.
El nombre Sturnus es un guiño al uso de un patrón de comunicación mixto que combina texto sin formato, AES y RSA, y ThreatFabric lo compara con Estornino europeo (nombre binomial: Sturnus vulgaris), que incorpora tiene una variedad de silbatos y es conocido por ser un imitador vocal.
Una vez lanzado, el troyano contacta con un servidor remoto a través de los canales WebSocket y HTTP para registrar el dispositivo y recibir cargas cifradas a cambio. También establece un canal WebSocket para permitir a los atacantes interactuar con el dispositivo Android comprometido durante las sesiones de computación en red virtual (VNC).
Además de publicar superposiciones falsas para aplicaciones bancarias, Sturnus también es capaz de abusar de Android servicios de accesibilidad para capturar las pulsaciones de teclas y registrar las interacciones de la interfaz de usuario (UI). Tan pronto como se entregue a la víctima una superposición de un banco y se obtengan las credenciales, la superposición de ese objetivo específico se desactiva para no despertar sospechas en el usuario.
Además, puede mostrar una superposición de pantalla completa que bloquea toda la retroalimentación visual e imita la pantalla de actualización del sistema operativo Android para dar la impresión al usuario de que las actualizaciones de software están en curso, cuando, en realidad, permite que se lleven a cabo acciones maliciosas en segundo plano.
Algunas de las otras funciones del malware incluyen el soporte para monitorear la actividad del dispositivo, así como el aprovechamiento de los servicios de accesibilidad para recopilar el contenido del chat de Signal, Telegram y WhatsApp, así como enviar detalles sobre cada elemento de la interfaz visible en la pantalla.
Esto permite a los atacantes reconstruir el diseño por su parte y emitir de forma remota acciones relacionadas con los clics, la entrada de texto, el desplazamiento, el inicio de aplicaciones, las confirmaciones de permisos e incluso habilitar una superposición de pantalla negra. Un mecanismo de control remoto alternativo incorporado en Sturnus utiliza la estructura de captura de pantalla del sistema para reproducir la pantalla del dispositivo en tiempo real.
«Cada vez que el usuario accede a las pantallas de configuración que podrían desactivar su estado de administrador, el malware detecta el intento mediante la supervisión de la accesibilidad, identifica los controles pertinentes y sale automáticamente de la página para interrumpir al usuario», afirma ThreatFabric.
«Hasta que no se revoquen manualmente sus derechos de administrador, se bloquean tanto la desinstalación normal como la eliminación mediante herramientas como ADB, lo que brinda al malware una sólida protección contra los intentos de limpieza».
Las amplias capacidades de monitoreo del entorno permiten recopilar información de los sensores, las condiciones de la red, los datos del hardware y un inventario de las aplicaciones instaladas. Este perfil de dispositivo actúa como un circuito de retroalimentación continuo que ayuda a los atacantes a adaptar sus tácticas para eludir la detección.
«Si bien la propagación sigue siendo limitada en este momento, la combinación de la ubicación geográfica objetivo y el enfoque en las aplicaciones de alto valor implica que los atacantes están perfeccionando sus herramientas antes de llevar a cabo operaciones más amplias o coordinadas», afirma ThreatFabric.