Zanubis: detectan troyano bancario para celulares hecho en Perú que es sumamente avanzado y peligroso

Durante un largo período, Brasil ha ostentado el título de principal exportador de ataques maliciosos en América Latina, propagando malware complejo que ha amenazado la seguridad de la región. En el caso de Perú, las principales amenazas solían surgir de su país vecino, Brasil. Sin embargo, esta dinámica ha experimentado un cambio significativo en los últimos tiempos. Se ha identificado un nuevo troyano bancario de origen local, denominado Zanubis, que se ha convertido en la amenaza predominante en el país, especialmente en lo que respecta a troyanos bancarios móviles, según la firma de ciberseguridad Kaspersky.

Este malware se ha centrado en atacar principalmente dispositivos Android, que representan entre el 80% y el 90% de la cuota de mercado en Perú. Aunque Zanubis fue descubierto por primera vez en agosto de 2022, su peligrosidad se ha agravado recientemente con un aumento en los ataques. En la actualidad, según el informe de Kaspersky sobre detección de troyanos bancarios móviles en Perú, Zanubis encabeza la lista de amenazas bloqueadas.

El método de infección de Zanubis y su peligrosidad son motivo de preocupación. Fabio Asolinni, director del Equipo Global de Investigación y Análisis para Latinoamérica en Kaspersky, señala que aunque no se ha rastreado el vector inicial del ataque, es probable que los cibercriminales utilicen tácticas como correos maliciosos, mensajes de WhatsApp, SMS o anuncios en redes sociales para engañar a sus víctimas. Para ganar credibilidad, los atacantes se valen del nombre de la Sunat, la entidad tributaria peruana. Simulan problemas fiscales y persuaden a las víctimas para que hagan clic en un enlace adjunto y descarguen la aplicación maliciosa, aprovechando ilegalmente el nombre y el ícono de la aplicación gubernamental legítima.

A pesar de que Zanubis no está disponible en la Play Store, la tienda oficial de aplicaciones de Android, muchas personas caen en la trampa de su descarga. El troyano engaña a los usuarios al mostrar una réplica del sitio web legítimo de la Sunat, pero en realidad, instala una serie de malware altamente peligrosos en segundo plano.

Una vez que el usuario descarga la aplicación falsa, el malware verifica si es la primera ejecución en el dispositivo y si tiene acceso al Menú de Accesibilidad del teléfono. En caso contrario, Zanubis muestra mensajes de alerta falsos que instan al usuario a “actualizar la aplicación”. Esta función de accesibilidad, presente en todos los dispositivos Android, es originalmente diseñada para ayudar a personas con discapacidades a utilizar tecnologías de asistencia, pero los cibercriminales la explotan para manipular aplicaciones en el dispositivo infectado a través de comandos remotos. Sin este acceso, el troyano no podría llevar a cabo fraudes en aplicaciones bancarias.

Además, el malware solicita convertirse en la aplicación predeterminada para la validación de mensajes SMS, lo que le permite robar códigos de activación enviados por instituciones financieras. Cada vez que intercepta uno de estos mensajes SMS, Zanubis lo elimina para eliminar cualquier evidencia del fraude.

Una vez que Zanubis está operativo (con ejecución en segundo plano y permisos para interactuar con otras aplicaciones), muestra una página web legítima de la Sunat, donde los clientes pueden consultar sus deudas. Esta fase es crucial, ya que disminuye las sospechas del usuario respecto a un ataque.

Este troyano realiza un escaneo de las aplicaciones financieras en el dispositivo, identificando si el usuario utiliza alguna de las 38 aplicaciones de instituciones financieras que operan en Perú, así como las aplicaciones de Gmail y WhatsApp, con el objetivo de robar o monitorear información sensible.

Entre sus capacidades, Zanubis incluye keyloggers, que registran todo lo que se escribe en el dispositivo, incluyendo nombres de usuario y contraseñas. Estos malwares pueden incluso capturar los comandos de “copia y pega”, proporcionando a los delincuentes acceso completo a las cuentas bancarias y la capacidad de vaciarlas por completo.

Además de estas acciones, Zanubis tiene la capacidad de instalar o desinstalar otras aplicaciones, bloquear por completo el dispositivo, interceptar mensajes SMS y acceder a sitios web, facilitando la descarga de aplicaciones maliciosas adicionales si así lo desean los cibercriminales.

Para mantener un acceso persistente, el troyano también puede instalar software de acceso remoto, como VNC, lo que permite a los criminales controlar el dispositivo sin que el usuario lo note, ya que las operaciones maliciosas se ejecutan en segundo plano. Para evitar levantar sospechas, el operador remoto puede reducir el brillo de la pantalla al mínimo, haciendo que el usuario crea que el dispositivo está apagado. También utiliza un método que simula una alerta de actualización del sistema operativo para bloquear la pantalla, lo que en realidad es un mensaje falso utilizado por los cibercriminales para acceder al sistema del dispositivo sin ser detectados.

Cuando un usuario afectado finalmente denuncia el robo y se inicia una investigación en su dispositivo, el troyano se habrá borrado por completo, eliminando cualquier evidencia de su presencia y cubriendo sus huellas.

La determinación de que Zanubis es de origen peruano se basa en dos evidencias principales. En primer lugar, la calidad del español utilizado en el malware sugiere que fue escrito por un hablante nativo con un profundo conocimiento de la jerga y las expresiones locales. En segundo lugar, el conocimiento detallado de las aplicaciones financieras locales, incluyendo las de los bancos más importantes y las instituciones financieras más pequeñas, así como billeteras virtuales como Yape o Plin, apunta a su desarrollo local.

Para evitar convertirse en víctimas de Zanubis y otros ataques similares, es crucial seguir las siguientes recomendaciones: