Investigadores de ciberseguridad han revelado detalles de un nuevo troyano bancario para Android llamado Sturnus que puede robar credenciales y apoderarse de dispositivos completos para realizar fraudes financieros.
«Un diferenciador clave es la capacidad de eludir los mensajes cifrados», dijo ThreatFabric en un informe compartido con The Hacker News. «Al capturar contenido directamente desde la pantalla del dispositivo después del descifrado, Sturnus puede monitorear las comunicaciones a través de WhatsApp, Telegram y Signal».
Otra característica notable es la capacidad de realizar ataques de superposición en etapas proporcionando una pantalla de inicio de sesión falsa en una aplicación bancaria para capturar las credenciales de la víctima. Según la empresa holandesa de seguridad móvil, Sturnus es de gestión privada y actualmente se encuentra en fase de evaluación. Los artefactos que distribuyen malware bancario incluyen:
Caja de premezcla de Google Chrome (“com.klivkfbky.izaybebnx”) (“com.uvxuthoq.noscjahae”)
El malware está diseñado para identificar específicamente instituciones financieras en el sur y centro de Europa mediante superposiciones específicas de la región.
El nombre Sturnus rinde homenaje al uso de un patrón de comunicación mixto que combina texto plano, AES y RSA, que ThreatFabric compara con el estornino europeo (Sturnus vulgaris), conocido por incorporar varios silbidos para imitar su voz.
Una vez iniciado, el troyano se conecta a un servidor remoto a través de canales WebSocket y HTTP, registra el dispositivo y recibe una carga útil cifrada. También establece un canal WebSocket para permitir que los actores de amenazas interactúen con dispositivos Android comprometidos durante las sesiones de computación en red virtual (VNC).
Además de proporcionar una superposición falsa para aplicaciones bancarias, Sturnus también puede explotar los servicios de accesibilidad de Android para capturar pulsaciones de teclas y registrar interacciones de la interfaz de usuario (UI). Tan pronto como se proporciona la superposición bancaria a la víctima y se recopilan las credenciales, la superposición para ese objetivo en particular se desactiva para evitar despertar sospechas del usuario.
Además, puede bloquear todos los comentarios visuales y mostrar una superposición de pantalla completa que imita la pantalla de actualización del sistema operativo Android, dando al usuario la impresión de que hay una actualización de software en progreso, cuando en realidad se pueden realizar acciones maliciosas en segundo plano.
Otras características del malware incluyen soporte para monitoreo de actividad del dispositivo, la capacidad de aprovechar los servicios de accesibilidad para recopilar contenido de chat de Signal, Telegram y WhatsApp, y enviar detalles sobre todos los elementos de la interfaz visibles en la pantalla.
Esto permite al atacante reconstruir finalmente el diseño y realizar de forma remota acciones relacionadas con clics, entrada de texto, desplazamiento, inicio de aplicaciones, comprobaciones de permisos o habilitar superposiciones de pantalla negra. Un mecanismo de control remoto alternativo integrado en Sturnus utiliza el marco de captura de pantalla del sistema para reflejar la pantalla del dispositivo en tiempo real.
«Cuando un usuario navega a una pantalla de configuración que potencialmente podría desactivar el estado de administrador, el malware detecta el intento a través del monitoreo de accesibilidad, identifica los controles relevantes y automáticamente sale de la página para molestar al usuario», dijo ThreatFabric.
«El malware está fuertemente protegido contra intentos de limpieza, ya que tanto la desinstalación normal como la eliminación mediante herramientas como ADB se bloquean hasta que los privilegios administrativos se revocan manualmente».
Las amplias capacidades de monitoreo ambiental le permiten recopilar información de sensores, estado de la red, datos de hardware e inventario de aplicaciones instaladas. Este perfil de dispositivo actúa como un circuito de retroalimentación continua, ayudando a los atacantes a adaptar sus tácticas y evadir la detección.
«Si bien la proliferación sigue siendo limitada en esta etapa, la combinación de geografías específicas y el enfoque en aplicaciones de alto valor sugiere que los actores de amenazas están refinando sus herramientas antes de operaciones más amplias o más coordinadas», dijo ThreatFabric.
Source link
