Zanubis: troyano bancario peruano

10 October, 2023

Compartir

Zanubis, nuevo troyano bancario de origen peruano

Durante muchos años, Brasil ha liderado la exportación de ataques maliciosos en América Latina, dando origen a algunos de los malwares más sofisticados que han afectado la región. En Perú, las principales amenazas también solían provenir de este país vecino. No obstante, esta situación ha experimentado un cambio reciente. Un nuevo troyano bancario de origen local ha surgido como la amenaza más significativa detectada en nuestro país en términos de troyanos bancarios móviles.

Esta nueva amenaza financiera llamó la atención de los expertos de Kaspersky por su complejidad. Según el análisis de la empresa, aunque Zanubis tiene un nivel técnico comparable al de los troyanos brasileños ampliamente conocidos y utiliza la misma estrategia, sus objetivos se centran en las aplicaciones bancarias y las instituciones financieras que operan en Perú, con el propósito de robar las credenciales de acceso y secuestrar los mensajes SMS enviados por las instituciones bancarias a la víctima.

Los delincuentes cibernéticos aprovechan el nombre de la Sunat para ganar credibilidad entre sus víctimas. Utilizan el nombre de la Sunat para alertar sobre un problema relacionado con los impuestos, lo que lleva a que la víctima, preocupada por la situación, haga clic en un enlace adjunto y descargue la aplicación maliciosa. En resumen, esta amenaza emplea de manera ilegal el nombre y el icono de la aplicación gubernamental legítima. Aunque no esté disponible en la Play Store, la tienda oficial de aplicaciones para Android, muchas personas optan por descargarla. El troyano engaña al usuario al mostrarle el sitio web original de la Sunat, pero, en realidad, su objetivo es instalar una serie de malwares extremadamente peligrosos en segundo plano.

Cuando el usuario descarga la aplicación falsa, el malware verifica si es la primera vez que se ejecuta en el dispositivo y si tiene permisos para acceder al Menú de Accesibilidad del teléfono. Si no tiene estos permisos, Zanubis es capaz de mostrar mensajes de alerta que indican “es necesario actualizar la aplicación”. Es importante destacar que esta función está presente en todos los dispositivos Android y está destinada a ayudar a las personas con discapacidad a configurar el teléfono con tecnologías de asistencia. Sin embargo, los ciberdelincuentes explotan esta herramienta legítima para manipular las aplicaciones en el dispositivo infectado mediante comandos remotos. Sin acceso a estos permisos, Zanubis no podría llevar a cabo sus actividades fraudulentas en las aplicaciones bancarias.

El malware también realiza otra acción importante, que es solicitar convertirse en la aplicación predeterminada para validar mensajes SMS. Esta configuración le permite a Zanubis robar los códigos de activación o verificación que las instituciones financieras envían a través de mensajes de texto a la víctima. Es relevante mencionar que cuando la amenaza intercepta uno de estos mensajes SMS, el malware lo borra para eliminar cualquier evidencia del fraude.

Una vez que Zanubis está en funcionamiento, operando en segundo plano y con permisos para interactuar con otras aplicaciones, muestra una página web legítima de SUNAT, donde los clientes pueden buscar deudas. Esta fase es destacable ya que tiene como objetivo evitar que el usuario sospeche que ha sido víctima de un ataque.

El engaño comienza cuando el troyano detecta que la víctima está utilizando aplicaciones específicas, que incluyen 38 aplicaciones de instituciones financieras que operan en Perú, billeteras virtuales como Yape y Plin, así como las aplicaciones de Gmail y WhatsApp. En esta etapa, Zanubis registra todo lo que se escribe en el dispositivo y graba la pantalla para robar las credenciales de acceso a las aplicaciones.

El robo de dinero a través de aplicaciones financieras o de banca móvil se lleva a cabo cuando la víctima no está utilizando el dispositivo o no puede hacerlo, ya que Zanubis puede bloquear el uso del teléfono mediante falsas actualizaciones de Android. La excepción ocurre cuando el propietario del dispositivo infectado ha configurado la verificación biométrica para acceder a sus cuentas. En este caso, el fraude ocurre durante el segundo acceso a la aplicación bancaria, para que el malware pueda forzar la verificación facial o de huella digital. En ambos casos, Zanubis puede oscurecer la pantalla del teléfono infectado para simular un bloqueo del dispositivo y engañar a la víctima para que utilice la verificación biométrica.

Aunque no se puede confirmar definitivamente su origen con la información actualmente disponible, hay varios indicadores que sugieren que Zanubis proviene de Perú. En primer lugar, los desarrolladores utilizan el español, con un profundo conocimiento de la jerga y expresiones locales. Además, muestran un interés particular por las instituciones financieras y bancos peruanos, ya que estas aplicaciones son su único objetivo hasta el momento. 


Para evitar caer en ataques como el mencionado y protegerse contra amenazas cibernéticas en general, es fundamental seguir estas recomendaciones


  • Instalar únicamente aplicaciones de fuentes de confianza, preferiblemente desde las tiendas de aplicaciones oficiales.
  • Comprobar los permisos solicitados por las aplicaciones; si no coinciden con la función de la aplicación (por ejemplo, una aplicación de linterna que solicita acceso a mensajes y llamadas), podría ser una señal de que se trata de una aplicación no confiable.
  • No hacer clic en enlaces de correos electrónicos, redes sociales o mensajes SMS no deseados.
  • No realizar el procedimiento de rooting del dispositivo (equivalente al jailbraking en dispositivos iOS) que proporcionará a los ciberdelincuentes posibilidades ilimitadas.
  • Usar una solución de seguridad robusta que le proteja contra software malicioso y sus acciones, tales como las que contamos en nuestro catálogo de soluciones de seguridad de dispositivos móviles. 


Finalmente, los expertos prevén que éste es el primero de muchos troyanos bancarios locales por aparecer, por lo que recomendamos enfáticamente proteger todos los flancos de la ciberseguridad, incluyendo ahora los dispositivos móviles, tanto de los propios usuarios como los corporativos.


Fuentes: https://securelist.lat/crimeware-report-asmcrypt-loader-lumma-stealer-zanubis-banker/98124/ 

https://elcomercio.pe/tecnologia/ciberseguridad/zanubis-detectan-troyano-bancario-para-celulares-hecho-en-peru-que-es-sumamente-avanzado-y-peligroso-malware-kaspersky-delitos-informaticos-telefonos-android-celulares-smartphones-noticia/ 


También te puede interesar