La aparición de Sturnus, un troyano bancario para Android capaz de robar chats y contraseñas de WhatsApp, ha vuelto a encender las alarmas entre expertos en ciberseguridad en Europa y el resto del mundo. Este malware está siendo utilizado en campañas activas para espiar conversaciones, apropiarse de credenciales y controlar a distancia los móviles infectados, poniendo en jaque la privacidad de millones de usuarios.
Lejos de ser un virus más, Sturnus combina técnicas avanzadas de espionaje, suplantación de pantallas y control remoto, y se centra de forma especial en aplicaciones de mensajería y banca online. Aunque se ha detectado actividad en distintos países, las autoridades europeas y laboratorios especializados lo señalan ya como una de las amenazas móviles más preocupantes de los últimos años.
Qué es Sturnus y por qué preocupa tanto a los expertos
Los analistas describen a Sturnus como un troyano móvil sofisticado, con enfoque bancario, diseñado para infiltrarse en dispositivos Android y operar en segundo plano sin levantar sospechas. No se replica como un virus clásico, sino que necesita que el usuario instale voluntariamente una app maliciosa que lo contiene.
Una vez dentro, el malware abre la puerta al robo de conversaciones de WhatsApp, Telegram y Signal, contraseñas y datos financieros. ThreatFabric y otros laboratorios lo consideran uno de los troyanos más completos que se han visto últimamente en el ecosistema móvil, por la combinación de capacidades de espionaje, fraude y persistencia.
Lo más inquietante es que aprovecha los servicios de accesibilidad de Android para leer lo que aparece en pantalla cuando el usuario ya ha abierto la app. De este modo, no necesita romper el cifrado de extremo a extremo de WhatsApp o Signal: simplemente “observa” el contenido ya descifrado como si fuese otra capa por encima del sistema.
Este enfoque supone un cambio en la forma de atacar las comunicaciones cifradas: en vez de intentar interceptar el tráfico, se toma el control del dispositivo donde se muestran los mensajes, algo mucho más difícil de detectar para el usuario medio.
Así se infiltra Sturnus en tu móvil: apps falsas y versiones “premium”
Los investigadores coinciden en que las aplicaciones fraudulentas o modificadas son el principal canal de entrada que circulan fuera de Google Play o se camuflan entre apps aparentemente legítimas. Suelen presentarse como:
- Juegos gratuitos o con recompensas llamativas.
- Editores de fotos y vídeo con “filtros exclusivos”.
- Herramientas de optimización o ahorro de batería milagrosas.
- Versiones “Gold”, “Plus” o “premium” de WhatsApp y otras apps populares, que prometen funciones extra o escondidas.
Cuando el usuario descarga el archivo APK desde un sitio externo o un enlace compartido por chat, la app maliciosa solicita permisos que parecen normales pero le otorgan un control profundo del dispositivo. Entre ellos, destacan los permisos de accesibilidad y, en muchos casos, permisos de administrador del dispositivo.
Al conceder estos permisos, Sturnus adquiere capacidad para supervisar lo que ocurre en pantalla, interceptar pulsaciones, manejar la navegación y dificultar enormemente su eliminación. Muchos afectados ni siquiera recuerdan qué aplicación instalaron antes de que comenzaran los problemas, lo que complica todavía más la detección.
Este tipo de campañas suelen apoyarse en técnicas de ingeniería social: mensajes que recomiendan una app “secreta” para mejorar WhatsApp, enlaces en redes sociales con supuestas funciones exclusivas o páginas que imitan a sitios oficiales para convencer al usuario de que descargue el APK.
Qué puede hacer Sturnus dentro de tu WhatsApp y otras apps
Una vez activo, Sturnus se comporta como un verdadero software espía avanzado. No solo se limita a leer mensajes, sino que recopila y envía a servidores remotos un abanico amplio de información privada. Entre sus capacidades más destacadas se encuentran:
- Acceso a chats de WhatsApp, Telegram, Signal y otras apps de mensajería, leyendo el contenido en pantalla cuando el usuario abre las conversaciones.
- Posibilidad de copiar, reenviar o registrar mensajes, fotos, vídeos, audios y documentos sin que el propietario del móvil lo note.
- Uso de los servicios de accesibilidad para registrar cada tecla pulsada, lo que facilita el robo de contraseñas y datos de inicio de sesión.
- Visualización remota en tiempo real de la pantalla del dispositivo, permitiendo a los atacantes observar todo lo que hace la víctima.
- Interacción sobre la interfaz: abrir aplicaciones, pulsar botones, desplazarse por menús o escribir mensajes como si tuvieran el móvil en la mano.
- Activación de una pantalla negra que oculta la actividad maliciosa, para que el usuario crea que el teléfono está bloqueado o apagado mientras el troyano trabaja.
Además de la mensajería, el troyano puede acceder a archivos almacenados en el dispositivo: fotos, vídeos, documentos o historiales de otras apps sensibles. Esta información se envía en segundo plano a servidores controlados por los ciberdelincuentes, sin generar avisos visibles.
Autoridades europeas y empresas de seguridad subrayan que puede operar durante semanas o meses sin levantar sospechas, especialmente en equipos donde el usuario no presta atención a los permisos ni a los procesos en segundo plano.
Robo de contraseñas y datos bancarios: el objetivo principal
Aunque el espionaje de conversaciones llama mucho la atención, el foco real está en el dinero. Los investigadores lo clasifican como troyano bancario porque incorpora funciones específicas para robar credenciales financieras y apoderarse de cuentas sensibles.
Una de sus técnicas más peligrosas es la suplantación de pantallas de inicio de sesión mediante superposiciones HTML. Cuando la víctima abre una app bancaria, una billetera digital o un servicio de pago, el malware muestra una interfaz falsa idéntica a la original. El usuario introduce su usuario, contraseña o PIN con total normalidad… y esos datos van directos a los atacantes.
Este mecanismo permite robar claves de banca online, credenciales de wallets, códigos de autenticación e incluso datos de tarjetas, sin necesidad de comprometer directamente la aplicación legítima. Para el usuario, la experiencia es prácticamente indistinguible de la real.
Además, gracias al control remoto y al acceso a los SMS o aplicaciones de autenticación, puede interceptar códigos de verificación en dos pasos, completar transferencias fraudulentas o cambiar ajustes de seguridad en las cuentas comprometidas.
En conjunto, estas capacidades convierten a este malware en una herramienta muy eficaz para fraudes financieros complejos, que puede afectar tanto a usuarios particulares como a profesionales que gestionan información delicada desde su móvil.
Un intruso que no se deja borrar fácilmente
Otro rasgo que preocupa especialmente es la habilidad para evitar su desinstalación. Cuando el usuario percibe comportamientos raros y trata de revocar permisos o eliminar la app sospechosa, el troyano interviene en el proceso.
Según los análisis, el malware intercepta los intentos de acceder a los ajustes de seguridad o de administrador del dispositivo y redirige la pantalla a otros menús, bloqueando de facto cualquier intento de expulsarlo. Este juego de “espejos” hace que muchas víctimas se rindan antes de conseguir quitarlo.
En los casos más graves, la única solución práctica ha sido restablecer el teléfono a valores de fábrica, tras hacer una copia de seguridad limpia y, preferiblemente, revisar qué se restaura para no recuperar también la app maliciosa.
Expertos europeos recomiendan, además, evitar el rooteo del dispositivo y mantener siempre un antivirus reputado instalado, ya que un terminal modificado o sin protección suele facilitar la labor de este tipo de amenazas avanzadas.
Cómo detectar si tu móvil podría estar infectado con Sturnus
Aunque Sturnus intenta pasar desapercibido, su actividad puede dejar algunas pistas si se presta atención al comportamiento del dispositivo. Entre los indicios que apuntan a una posible infección se encuentran:
- Calentamiento anómalo del teléfono incluso cuando no se está usando de forma intensiva.
- Consumo excesivo de batería o de datos móviles sin explicación clara.
- Apertura automática de aplicaciones o movimientos en pantalla que el usuario no ha realizado.
- Bloqueos repentinos, pantallas negras inesperadas o reinicios sin motivo aparente.
- Notificaciones extrañas relacionadas con permisos, accesibilidad o administrador del dispositivo.
Si además recuerdas haber instalado hace poco una app de origen dudoso, una versión modificada de WhatsApp o un APK descargado desde un enlace, la sospecha de que pueda tratarse de Sturnus u otro troyano similar gana fuerza.
Medidas clave para proteger tu WhatsApp y tu móvil Android
Frente a una amenaza tan sigilosa, la mejor defensa sigue siendo la prevención y unos hábitos digitales cuidados. Los especialistas en ciberseguridad recomiendan una serie de pasos básicos que cualquier usuario en España o Europa puede aplicar en su día a día:
1. No instalar aplicaciones fuera de tiendas oficiales
La mayoría de infecciones comienzan cuando se descargan APK desde páginas aleatorias, enlaces de desconocidos o repositorios no verificados. Limitarse a Google Play o a los canales oficiales del fabricante reduce muchísimo el riesgo.
2. Desconfiar de versiones “Gold”, “Plus” o modificadas de WhatsApp
Muchas de estas supuestas versiones mejoradas son el gancho perfecto para propagar troyanos como Sturnus u otros malware similares. Si una función no está en la app oficial, lo más prudente es asumir que no es segura.
3. Revisar siempre los permisos de cada app
Antes de aceptar, conviene preguntarse si tiene sentido que una app pida acceso al micrófono, la cámara, los SMS o la agenda de contactos. Revisar los permisos y limitar los accesos innecesarios es una bandera roja clara.
4. Mantener Android y las aplicaciones actualizados
Los parches de seguridad corrigen fallos que los atacantes explotan una y otra vez. Retrasar las actualizaciones implica dejar la puerta abierta a vulnerabilidades ya conocidas.
5. Reforzar la seguridad desde la propia WhatsApp
Activar la verificación en dos pasos, revisar sesiones activas de forma periódica y limitar la información visible en el perfil son medidas sencillas que reducen el impacto si alguien intenta secuestrar la cuenta. También es recomendable usar un PIN de 6 dígitos para mayor protección.
Qué hacer si sospechas que Sturnus ha infectado tu teléfono
Cuando hay indicios claros de infección, es importante actuar con rapidez para limitar el daño y frenar el acceso remoto. Los pasos recomendados por los expertos son relativamente concretos:
- Desconectar el móvil de internet (datos y Wi‑Fi) para cortar el control remoto y la salida de información.
- Reiniciar el dispositivo en modo seguro, de forma que solo se ejecuten apps del sistema.
- Desde ese entorno, intentar desinstalar cualquier aplicación sospechosa instalada recientemente.
- Si el sistema impide eliminarla o sigue habiendo comportamientos extraños, valorar un restablecimiento a valores de fábrica.
- Cambiar todas las contraseñas críticas (banca, correo, redes sociales, WhatsApp Web, etc.) desde otro dispositivo que esté limpio.
- Evitar restaurar copias de seguridad que puedan contener la app maliciosa, o revisar cuidadosamente qué se recupera.
En entornos profesionales o cuando hay datos especialmente sensibles comprometidos, puede ser recomendable acudir a un servicio técnico especializado o al soporte de la propia entidad bancaria para revisar movimientos y reforzar mecanismos de autenticación.
La reaparición de campañas ligadas a Sturnus demuestra que los troyanos móviles siguen siendo una de las herramientas favoritas del cibercrimen, sobre todo cuando apuntan a apps de uso masivo como WhatsApp. Aunque el panorama suene preocupante, contar con un dispositivo actualizado, evitar descargas de riesgo, vigilar los permisos y aprovechar las opciones de seguridad integradas en las aplicaciones es, hoy por hoy, la fórmula más efectiva para mantener chats, contraseñas y datos bancarios a salvo de este tipo de amenazas.
