Kaspersky ha emitido una advertencia sobre Zanubis, un troyano bancario diseñado para dispositivos Android, que ha atacado aproximadamente a 40 aplicaciones de bancos y entidades financieras en Perú; además, los investigadores consideran que esta amenaza tiene un alto potencial para convertirse en un problema en el resto de América Latina.

Los expertos han destacado cómo los troyanos de acceso remoto (RATs) llevan a cabo ataques conocidos como «mano fantasma», los cuales permiten a los ciberdelincuentes realizar fraudes bancarios utilizando el teléfono inteligente de la víctima para evadir las defensas de la banca móvil. En este sentido, esta nueva amenaza financiera, llamada Zanubis, ha captado la atención de los expertos debido a su complejidad y a su objetivo principal: las aplicaciones de bancos e instituciones financieras.

Para llevar a cabo sus ataques, Zanubis es un troyano bancario basado en superposición que abusa de la función de accesibilidad. Su método de infección es estándar y almacena una lista de aplicaciones en shared_preferences. El principal método de infección utilizado por Zanubis es a través de la descarga de una aplicación maliciosa que se hace pasar por una marca, empresa u organización legítima, fuera de la tienda oficial. Además, el malware se camufla como una aplicación del sistema de la Superintendencia Nacional de Aduanas y Administración Tributaria (Sunat) para evitar ser identificado por los usuarios, quienes terminan descargándolo en sus teléfonos.

Es importante destacar que esta función de accesibilidad está presente en todos los dispositivos Android y tiene como objetivo ayudar a las personas con discapacidad a configurar el teléfono con tecnologías de asistencia. Sin embargo, los ciberdelincuentes aprovechan esta herramienta legítima para manipular las aplicaciones en los dispositivos infectados mediante comandos remotos. Por otro lado, el malware también solicita convertirse en la aplicación predeterminada para la validación de los mensajes SMS, lo que le permite robar los códigos de activación y continuar con el fraude en las aplicaciones bancarias.

Zanubis muestra la página web legítima de la institución bancaria utilizada por el usuario para realizar pagos una vez que funciona en segundo plano y con permiso para operar otras aplicaciones. En esta fase crucial, se evita que la persona sospeche de un ataque. Posteriormente, la estafa se inicia al descubrir que la víctima utiliza aplicaciones específicas, incluyendo cerca de 40 aplicaciones de instituciones financieras, Gmail y WhatsApp. Zanubis registra los textos digitados y graba la pantalla para robar las credenciales de acceso a las aplicaciones.

El robo de dinero a través de aplicaciones financieras o bancarias móviles ocurre cuando la víctima no utiliza o no puede usar el dispositivo infectado, ya que Zanubis puede bloquear su uso mediante actualizaciones falsas de Android. Sin embargo, existe una excepción cuando el propietario del dispositivo ha configurado la verificación biométrica para acceder a sus cuentas. En estos casos, durante el segundo acceso a la aplicación bancaria, el malware puede forzar la verificación facial o de huella digital. Para engañar a la víctima, Zanubis puede oscurecer la pantalla del teléfono infectado imitando el bloqueo y así inducir al uso del desbloqueo biométrico.

Aunque no se puede llegar a una conclusión definitiva con la información actualmente disponible, hay indicios que sugieren que Zanubis tiene origen peruano y podría expandirse por la región. En primer lugar, los desarrolladores utilizan el español y poseen un amplio conocimiento de la jerga y frases comunes. Además, demuestran una gran afinidad por los bancos y entidades financieras peruanas, siendo estas sus principales objetivos en la actualidad.

Fuente: https://blog.segu-info.com.ar/2023/10/zanubis-troyano-bancario-para-android.html