Bl0ckch41nnewsZanubis: troyano bancario para Android ataca aplicaciones en América Latina ~ Segu-Info
Los investigadores de Kaspersky alertan sobre Zanubis, un troyano
bancario para Android que ha atacado a cerca de 40 aplicaciones de bancos y
otras entidades financieras en Perú, por su alto potencial de convertirse en
una amenaza para el resto de América Latina.
Los investigadores han informado reiteradamente sobre cómo los troyanos de
acceso remoto (RATs) realizan ataques tipo «mano fantasma» que permiten a los
ciberdelincuentes realizar fraudes bancarios utilizando el smartphone de la
víctima para burlar las defensas en la banca móvil.
Este modelo de cibercrimen está dominado por los troyanos brasileños, de la
mano de
#MEKOTIO
hasta la
aparición de Zanubis en agosto de 2022. Con varios indicadores que sugieren que es de origen peruano, este malware
ya lidera el ranking de intentos de ataque y representa casi el 50% de los
bloqueos realizados por Kaspersky en ese país en lo que va del año.
Esta nueva amenaza financiera llamó la atención de los expertos de la compañía
por su complejidad. El nivel técnico de Zanubis está a la par de los troyanos
brasileños y emplea la misma táctica, centrándose en las apps de bancos e
instituciones financieras con el fin de robar las credenciales de acceso y
secuestrar los mensajes SMS enviados a la víctima por las instituciones
bancarias.
Este es un troyano bancario basado en superposición que abusa de la
accesibilidad, el método de infección es el estándar y almacena una lista de
aplicaciones en shared_preferences. Está enfocado en bancos de
Latinoamerica, esta muestra se enfoca especialmente, en bancos de Perú.
El principal modo de infección de Zanubis ocurre cuando el usuario baja una
aplicación maliciosa, la cual simula ser de una marca, empresa u organización
legítima, fuera de la tienda oficial. El malware revisa si es la primera vez
que se ejecuta en el dispositivo y si cuenta con permisos para ingresar al
Menú de Accesibilidad del teléfono. De lo contrario, es capaz de mostrar
mensajes con alertas de «es necesario actualizar la app» para lograrlo.
Se sabe que el troyano se hace pasar por una aplicación del sistema de la
Superintendencia Nacional de Aduanas y Administración Tributaria (Sunat), para
que los usuarios no puedan identificarlo y terminen descargándolo en sus
teléfonos.
«Lo más probable es que el cibercriminal envía este troyano a través de
correos electrónicos señalando un problema con los impuestos e invita a la
víctima a hacer clic para descargar la app de Sunat. Es posible que utilice
otros temas para generar en los usuarios cierto temor y esto conlleva a la
descarga. Una vez que ya está instalado en el teléfono, este te mostrará la
página real de la entidad, pero por debajo ya se instaló Zanubis», explican desde la empresa.
Es importante señalar que esta función está presente en todos los dispositivos
Android, pues su objetivo es ayudar a personas con alguna discapacidad a
configurar el teléfono con tecnologías de asistencia. Sin embargo, los
ciberdelincuentes explotan esta herramienta legítima para manipular las
aplicaciones en el equipo infectado con comandos remotos. Sin este acceso,
Zanubis no podría llevar a cabo el fraude en las apps bancarias.
El malware también solicita ser la aplicación predeterminada para la
validación de mensajes SMS. Esta configuración le permite robar los códigos
de activación o verificación que las instituciones financieras envían a la
víctima vía mensajes de texto. Es importante mencionar que cuando la amenaza
intercepta uno de estos mensajes, el malware lo elimina para borrar
evidencia del fraude.
Una vez en operación (con ejecución en segundo plano y permiso para operar
otras apps), Zanubis muestra la página web legítima de la institución bancaria
que utiliza el usuario para realizar pagos. Esta fase es importante ya que
sirve para evitar que la persona sospeche que ha sido víctima de un ataque.
La estafa empieza cuando el troyano identifica que la víctima utiliza
aplicaciones específicas. La lista está compuesta por casi 40 apps de
instituciones financieras, así como las de Gmail y WhatsApp, estas últimas
para robar o monitorear la información de sus víctimas. En esta etapa, Zanubis
registra todos los textos digitados en el equipo y graba la pantalla con el
fin de robar las credenciales de ingreso a las apps.
Según los expertos, el robo de dinero a través de las apps financieras o de la
banca móvil se realiza cuando la víctima del dispositivo infectado no lo está
utilizando, o no pueda hacerlo, ya que Zanubis puede bloquear el uso del
teléfono mediante actualizaciones falsas de Android.
La excepción es cuando el dueño del dispositivo infectado haya configurado la
verificación biométrica para ingresar a sus cuentas. En este caso, el fraude
se produce durante el segundo acceso a la aplicación bancaria para que el
programa malicioso pueda forzar la verificación facial o mediante la huella
digital. En ambos casos, el malware podría oscurecer la pantalla del teléfono
infectado para imitar el bloqueo del teléfono y engañar a la víctima para que
use el desbloqueo biométrico.
Aunque no se puede hacer una atribución definitiva con la información
actualmente disponible, existen varios indicadores que sugieren que Zanubis es
de origen peruano y que podría expandirse por la región. En primer lugar, el
idioma utilizado por los desarrolladores es el español con un gran
conocimiento de la jerga y frases comunes. Además, muestra gran afinidad por
los bancos y entidades financieras peruanas, siendo estas apps su único
objetivo por el momento.
Otra señal inesperada es que mientras los expertos de Kaspersky y
Fernando Diaz realizaban el análisis de este malware, notaron varios envíos a la plataforma del
VirusTotal. Según la telemetría y los IoCs, todas esas nuevas muestras enviadas aparecían provenir
de un
remitente en Perú.
Los comentarios están cerrados.