Un troyano bancario emergente para Android llamado Zanubis ahora se hace pasar por una aplicación del gobierno peruano para engañar a usuarios desprevenidos para que instalen el malware.
«La principal ruta de infección de Zanubis es hacerse pasar por aplicaciones legítimas de Android peruanas y luego engañar al usuario para que habilite los permisos de Accesibilidad para tomar el control total del dispositivo», Kaspersky dicho en un análisis publicado la semana pasada.
Zanubis, originalmente documentado en agosto de 2022, es la última incorporación a una larga lista de malware bancario para Android dirigido a la región de América Latina (LATAM). Los objetivos incluyen más de 40 bancos y entidades financieras del Perú.
Es conocido principalmente por abusar de los permisos de accesibilidad en el dispositivo infectado para mostrar pantallas superpuestas falsas encima de las aplicaciones específicas en un intento de robar credenciales. también es capaz de recopilar datos de contactos, listas de aplicaciones instaladas y metadatos del sistema.
Kaspersky dijo que observó muestras recientes de Zanubis en estado salvaje en abril de 2023, operando bajo la apariencia de la agencia tributaria y aduanera peruana denominada Superintendencia Nacional de Aduanas y de Administración Tributaria (SUNAT).
Instalar la aplicación y otorgarle permisos de accesibilidad le permite ejecutarse en segundo plano y cargar el sitio web genuino de SUNAT utilizando WebView de Android para crear una apariencia de legitimidad. Mantiene conexiones a un servidor controlado por actores para recibir comandos de la siguiente etapa a través de WebSockets.
Los permisos se aprovechan aún más para controlar las aplicaciones que se abren en el dispositivo y compararlas con una lista de aplicaciones específicas. Si se inicia una aplicación de la lista, Zanubis procede a registrar las pulsaciones de teclas o grabar la pantalla para desviar datos confidenciales.
Lo que distingue a Zanubis y lo hace más potente es su capacidad de pretender ser una actualización del sistema operativo Android, inutilizando efectivamente el dispositivo.
«A medida que se ejecuta la ‘actualización’, el teléfono permanece inutilizable hasta el punto de que no se puede bloquear ni desbloquear, ya que el malware monitorea esos intentos y los bloquea», señaló Kaspersky.
El desarrollo se produce cuando AT&T Alien Labs detalló otro troyano de acceso remoto (RAT) basado en Android denominado MMRat que es capaz de capturar la entrada del usuario y el contenido de la pantalla, así como comando y control.
«Las RAT son una opción popular para los piratas informáticos debido a sus numerosas capacidades, desde reconocimiento y exfiltración de datos hasta persistencia a largo plazo», dijo la empresa. dicho.