· Jonathan Izquierdo · Noticias seguridad ·
Sturnus: el troyano Android que captura mensajes de WhatsApp, Signal y Telegram
Descubierto nuevo malware bancario Android que intercepta mensajes de apps cifradas y permite control remoto total del dispositivo. Análisis forense y detección.
En noviembre de 2025, investigadores de seguridad identificaron un nuevo y sofisticado troyano bancario para Android denominado “Sturnus”. Este malware destaca por su capacidad de interceptar mensajes de aplicaciones cifradas como WhatsApp, Signal y Telegram, además de permitir el control remoto completo del dispositivo infectado.
El nombre “Sturnus” (estornino en latín) hace referencia a cómo el malware “imita” aplicaciones legítimas para infiltrarse en el sistema. Como perito informático forense, analizo las capacidades técnicas, métodos de detección e implicaciones para la validez de evidencias digitales.
¿Qué es el troyano Sturnus?
Sturnus es un troyano de acceso remoto (RAT) combinado con funcionalidades de malware bancario, diseñado específicamente para dispositivos Android. Fue detectado por primera vez en noviembre de 2025 distribuyéndose a través de tiendas de aplicaciones alternativas y enlaces de phishing.
Capacidad de interceptación de cifrado
Sturnus no rompe el cifrado de WhatsApp, Signal o Telegram. En su lugar, captura los mensajes después de ser descifrados en el dispositivo, leyendo directamente de la pantalla o de las notificaciones. El cifrado end-to-end no protege contra malware instalado en el terminal.
Características principales
| Aspecto | Detalle |
|---|---|
| Tipo | RAT + Banking Trojan |
| Plataforma | Android 8.0 y superiores |
| Vector de infección | Apps falsas, APKs maliciosos, phishing |
| Persistencia | Sobrevive reinicios, difícil de desinstalar |
| Comunicación C2 | WebSocket cifrado sobre HTTPS |
| Evasión | Detecta emuladores y entornos de análisis |
Aplicaciones objetivo
Sturnus está diseñado para interceptar específicamente:
📱 Apps de mensajería (captura de mensajes)
├── WhatsApp
├── WhatsApp Business
├── Signal
├── Telegram
├── Facebook Messenger
└── SMS nativo
🏦 Apps bancarias (robo de credenciales)
├── Principales bancos españoles
├── Neobancos europeos
├── Apps de criptomonedas
└── Pasarelas de pagoCapacidades técnicas de Sturnus
1. Interceptación de mensajes
Sturnus emplea múltiples técnicas para capturar mensajes:
| Técnica | Funcionamiento |
|---|---|
| Accessibility Services | Abuso de servicios de accesibilidad para leer pantalla |
| Notification Listener | Captura de notificaciones de mensajes |
| Screen Recording | Grabación de pantalla en tiempo real |
| Keylogging | Registro de todas las pulsaciones de teclado |
| Clipboard Hijacking | Interceptación del portapapeles |
Servicios de accesibilidad
Sturnus solicita permisos de accesibilidad durante la instalación, presentándose como una herramienta legítima. Una vez otorgados, estos permisos permiten leer todo el contenido de la pantalla, incluidos mensajes cifrados ya descifrados.
2. Control remoto del dispositivo
El atacante puede ejecutar comandos remotos:
Visualización en tiempo real: Ver la pantalla del dispositivo infectado
Control de gestos: Ejecutar toques, deslizamientos y escritura remotamente
Instalación de apps: Descargar e instalar aplicaciones adicionales
Exfiltración de archivos: Descargar cualquier archivo del dispositivo
Activación de cámara/micrófono: Grabar audio y vídeo sin indicación visual
Geolocalización: Rastrear ubicación en tiempo real e histórico
Intercepción de SMS: Capturar códigos de verificación 2FA
3. Técnicas de evasión
Sturnus implementa sofisticadas técnicas anti-análisis:
🛡️ Evasión de Sturnus
├── 📵 Detección de emuladores (Genymotion, Android Studio)
├── 🔍 Detección de sandbox de análisis
├── ⏰ Retraso de activación (evita análisis dinámico)
├── 🔐 Código ofuscado y cifrado
├── 📡 Dominios C2 rotativos (DGA)
└── 🎭 Iconos y nombres que imitan apps legítimas4. Robo de credenciales bancarias
Para apps bancarias, Sturnus emplea:
| Técnica | Descripción |
|---|---|
| Overlay attacks | Pantallas falsas superpuestas sobre apps legítimas |
| Form grabbing | Captura de datos introducidos en formularios |
| Push notification hijacking | Interceptación de códigos OTP |
| SMS interception | Captura de SMS de verificación |
Método de infección
Vectores de distribución
Tiendas alternativas: APKs distribuidos en tiendas no oficiales
Phishing SMS/WhatsApp: Enlaces a “actualizaciones” o “apps necesarias”
Sitios web comprometidos: Descargas automáticas desde webs infectadas
Aplicaciones troyanizadas: Apps legítimas reempaquetadas con malware
Ingeniería social: Mensajes que incitan a instalar “herramientas de seguridad”
Proceso de infección típico
Víctima recibe enlace → Descarga APK malicioso → Instalación
↓
Solicita permisos de accesibilidad
↓
Usuario otorga permisos
↓
Sturnus se oculta (elimina icono)
↓
Conexión a servidor C2
↓
Inicio de captura y exfiltraciónAplicaciones falsas comunes
Sturnus se ha distribuido disfrazado de: actualizaciones de Flash Player, apps de “limpieza” del sistema, falsas actualizaciones de WhatsApp, apps de seguimiento de paquetes, y supuestas herramientas de seguridad bancaria.
Implicaciones forenses
Como perito informático, identifico cinco aspectos críticos para investigaciones judiciales:
1. Validez de mensajes como evidencia
Si un dispositivo estuvo infectado con Sturnus:
| Aspecto | Implicación |
|---|---|
| Autenticidad | Mensajes pudieron ser leídos por terceros |
| Integridad | El atacante tenía capacidad de modificar datos |
| Confidencialidad | Comunicaciones abogado-cliente comprometidas |
| No repudio | No se puede garantizar que solo el titular usó el dispositivo |
Evidencias cuestionables
Los mensajes de un dispositivo infectado con Sturnus no pierden automáticamente su valor probatorio, pero la defensa puede cuestionar su integridad. Un análisis forense debe documentar el periodo de infección y evaluar si coincide con las evidencias en disputa.
2. Detección en análisis forense
Sturnus deja artefactos identificables:
| Indicador | Ubicación/Método |
|---|---|
| APK malicioso | Lista de aplicaciones instaladas |
| Permisos anómalos | Servicios de accesibilidad activos |
| Conexiones C2 | Logs de red, dominios sospechosos |
| Procesos en background | Servicios persistentes |
| Archivos de configuración | Almacenamiento interno del malware |
| Logs de actividad | Registros del sistema Android |
3. Timeline de compromiso
En un peritaje es esencial establecer:
Fecha de instalación: ¿Cuándo se instaló el APK malicioso?
Primera conexión C2: ¿Cuándo comenzó la exfiltración?
Permisos otorgados: ¿Cuándo se habilitaron los servicios de accesibilidad?
Periodo activo: ¿Durante cuánto tiempo estuvo operativo?
Datos exfiltrados: ¿Qué información salió del dispositivo?
4. Cadena de custodia
Un dispositivo infectado plantea desafíos:
- No reiniciar: Preservar estado de memoria RAM
- Modo avión inmediato: Cortar comunicación con C2
- Imagen forense completa: Antes de cualquier manipulación
- Documentar permisos activos: Estado de servicios de accesibilidad
- Preservar logs de red: Si hay router/proxy disponible
5. Atribución del atacante
A diferencia del spyware estatal (como Pegasus), Sturnus es:
- Malware comercial/criminal: Disponible en foros underground
- Operadores diversos: Múltiples grupos criminales lo utilizan
- Motivación financiera: Principalmente robo bancario
- Infraestructura descentralizada: Servidores C2 en múltiples jurisdicciones
Casos de uso en procedimientos judiciales
Escenario 1: Defensa por dispositivo comprometido
Un acusado alega que sus mensajes de WhatsApp fueron manipulados o leídos por terceros:
| Análisis requerido | Objetivo |
|---|---|
| Detección de Sturnus | ¿Hay rastros del malware? |
| Timeline de infección | ¿Coincide con mensajes en disputa? |
| Capacidades activas | ¿Qué datos pudo capturar/modificar? |
| Origen de infección | ¿Cómo llegó el malware al dispositivo? |
Escenario 2: Robo de credenciales bancarias
Cliente víctima de fraude bancario que alega no haber autorizado transferencias:
Análisis del dispositivo para detectar Sturnus u otro malware
Verificación de overlay attacks contra la app bancaria
Correlación temporal entre infección y fraudes
Documentación de interceptación de OTP vía SMS
Informe pericial para reclamación al banco
Escenario 3: Espionaje de comunicaciones en divorcio
Parte sospecha que su ex-pareja instaló malware para leer sus mensajes:
| Investigación | Resultado esperado |
|---|---|
| Análisis de apps instaladas | Detectar APKs sospechosos |
| Revisión de permisos | Identificar servicios de accesibilidad abusivos |
| Acceso físico previo | ¿Cuándo pudo instalarse? |
| Documentación para denuncia | Evidencia de interceptación ilegal |
Delito de revelación de secretos
La instalación de malware como Sturnus para espiar comunicaciones ajenas constituye un delito de revelación de secretos (art. 197 CP) y acceso ilícito a sistemas informáticos (art. 197 bis CP), con penas de prisión de 1 a 4 años.
Cómo detectar Sturnus
Indicadores visibles para el usuario
- Batería: Consumo excesivo sin uso intensivo
- Datos móviles: Tráfico anómalo en segundo plano
- Rendimiento: Dispositivo lento sin razón aparente
- Permisos: Servicios de accesibilidad activos sin recordar haberlos otorgado
- Notificaciones: Desaparición de notificaciones de mensajería
Verificación manual
Revisar Accesibilidad: Ajustes → Accesibilidad → Servicios instalados
Apps con permisos especiales: Ajustes → Apps → Acceso especial
Uso de batería por app: Ajustes → Batería → Uso de batería
Uso de datos por app: Ajustes → Red e Internet → Uso de datos
Apps instaladas recientemente: Revisar lista completa de aplicaciones
Análisis técnico
Para profesionales o con conocimientos técnicos:
# Listar apps con servicios de accesibilidad activos
adb shell settings get secure enabled_accessibility_services
# Ver apps con permisos de notificaciones
adb shell dumpsys notification | grep -E "pkg=|uid="
# Buscar APKs instalados recientemente
adb shell pm list packages -i | sort
# Verificar conexiones de red activas
adb shell netstat -tulnPreservar evidencias
Si sospechas infección y estás involucrado en un proceso judicial, no desinstales el malware ni reinicies el dispositivo. Contacta con un perito forense para preservar las evidencias antes de cualquier acción.
Protección y prevención
Recomendaciones básicas
| Medida | Implementación |
|---|---|
| Solo tiendas oficiales | Instalar apps únicamente desde Google Play |
| Play Protect activo | Verificar que esté habilitado en Play Store |
| Evitar APKs externos | No instalar apps de enlaces o descargas |
| Verificar permisos | Revisar permisos solicitados antes de otorgar |
| Actualizaciones | Mantener Android y apps actualizados |
| 2FA con app | Usar autenticador en lugar de SMS para 2FA |
Configuración de seguridad
Desactivar “Orígenes desconocidos” (instalación de APKs externos)
Habilitar Google Play Protect y escaneos automáticos
Revisar periódicamente servicios de accesibilidad activos
No otorgar permisos de accesibilidad a apps desconocidas
Usar solución antimalware de reputación reconocida
Diferencias con otros malware móvil
Comparativa con spyware estatal
| Característica | Sturnus | Pegasus |
|---|---|---|
| Operador | Criminales/individuos | Gobiernos |
| Coste | Bajo (foros underground) | Millones de USD |
| Infección | Requiere instalar APK | Zero-click posible |
| Objetivo | Financiero, espionaje personal | Vigilancia estatal |
| Sofisticación | Media-alta | Extremadamente alta |
| Detección | Posible con análisis básico | Requiere análisis especializado |
Comparativa con otros troyanos bancarios
| Malware | Característica distintiva |
|---|---|
| Sturnus | Interceptación avanzada de mensajería cifrada |
| Cerberus | Pionero en abuso de accesibilidad |
| Anubis | Keylogger y ransomware integrado |
| TeaBot | Screen streaming en tiempo real |
| BRATA | Factory reset tras robo (destrucción de evidencias) |
Conclusiones para la práctica forense
El troyano Sturnus representa una amenaza significativa para la integridad de comunicaciones digitales:
El cifrado no es suficiente: WhatsApp, Signal y Telegram son vulnerables si el dispositivo está comprometido
Verificación de integridad obligatoria: Todo análisis de mensajería debe incluir verificación de malware
Timeline crítico: Determinar si la infección coincide con evidencias en disputa
Múltiples vectores: La infección puede venir de phishing, apps falsas o instalación directa
Responsabilidad distribuida: A diferencia de Pegasus, múltiples actores pueden operar Sturnus
Como perito, incorporaré la verificación de Sturnus y malware similar como protocolo estándar en cualquier análisis de dispositivo Android que involucre:
- Mensajes de WhatsApp, Signal o Telegram como evidencia
- Alegaciones de manipulación o espionaje
- Fraudes bancarios móviles
- Disputas sobre autenticidad de comunicaciones
¿Sospechas que tu dispositivo Android está infectado?
Ofrezco análisis forense especializado para detectar Sturnus y otros malware, documentar el compromiso y preparar informes periciales para procedimientos judiciales o reclamaciones bancarias.
Solicitar análisis forenseFuentes consultadas:
- Análisis técnico de investigadores de seguridad móvil (noviembre 2025)
- Documentación sobre técnicas de malware bancario Android
- OWASP Mobile Security Testing Guide
- Informes de amenazas de seguridad móvil 2025
Sobre el autor: Jonathan Izquierdo es perito informático forense especializado en análisis de dispositivos móviles y certificación de comunicaciones digitales para procedimientos judiciales.
Última actualización: Noviembre 2025
