Los investigadores de ciberseguridad han identificado una versión actualizada del peligroso trojan bancario Zanubis para Android, que representa una amenaza significativa para usuarios de servicios financieros y propietarios de carteras de criptomonedas. Esta nueva variante demuestra capacidades mejoradas de infiltración y robo de datos, estableciendo un nuevo estándar en la evolución del malware móvil dirigido al sector financiero.
Capacidades Técnicas del Malware Zanubis
La versión más reciente de Zanubis incorpora un arsenal ampliado de herramientas maliciosas diseñadas para comprometer dispositivos móviles de manera integral. Las funcionalidades principales incluyen interceptación de credenciales bancarias, extracción de información de wallets de criptomonedas, capacidades de keylogger y captura automática de pantalla. Esta aproximación multifacética permite a los ciberdelincuentes maximizar la extracción de información confidencial desde dispositivos infectados.
Según el análisis realizado por Kaspersky Lab, el trojan emplea sofisticadas técnicas de camuflaje, simulando aplicaciones legítimas de reconocidas instituciones financieras y empresas energéticas peruanas. La distribución se realiza mediante campañas de ingeniería social que utilizan facturas falsas e instrucciones aparentemente enviadas por consultores bancarios.
Evolución Histórica y Alcance Geográfico
Zanubis fue detectado inicialmente por investigadores en 2022, especializándose originalmente en ataques contra usuarios de organizaciones financieras y exchanges de criptomonedas en Perú. La característica distintiva del trojan radica en su capacidad para obtener fraudulentamente acceso a los Servicios de Accesibilidad de Android, lo que proporciona control casi completo sobre el dispositivo comprometido.
Durante 2023, la funcionalidad del banker experimentó una expansión considerable. Además del tradicional camuflaje como aplicaciones financieras y de criptomonedas, los atacantes comenzaron a crear versiones falsas de la aplicación oficial de la Superintendencia Nacional de Aduanas y de Administración Tributaria (SUNAT) de Perú, evidenciando un enfoque profesional en el desarrollo del malware.
Métodos de Distribución y Técnicas de Ingeniería Social
Los ciberdelincuentes implementan dos escenarios principales para la propagación de Zanubis. En el primer caso, se hacen pasar por representantes de compañías eléctricas, enviando archivos APK con nombres que contienen términos como «Boleta» o «Factura» a las víctimas potenciales. Estos archivos se presentan como aplicaciones para verificar documentos pendientes de pago.
El segundo escenario involucra la simulación de comunicaciones bancarias, donde se envía un archivo de instalación infectado bajo la apariencia de instrucciones de un consultor bancario. Este método explota la confianza de los usuarios hacia las instituciones financieras oficiales, aumentando significativamente las tasas de éxito de la infección.
Proceso de Infección y Funcionamiento Técnico
Una vez instalada la aplicación maliciosa, la pantalla del dispositivo muestra el logotipo de una empresa energética o banco, acompañado de una notificación sobre la realización de verificaciones. El trojan solicita permisos para acceder a los Servicios de Accesibilidad, justificando esta solicitud como necesaria para el correcto funcionamiento de la aplicación.
Al obtener los permisos requeridos, Zanubis adquiere la capacidad de interceptar toda la información mostrada en la pantalla del dispositivo, incluyendo el contenido de las notificaciones. Esto permite a los atacantes acceder a contraseñas, códigos PIN, datos de tarjetas bancarias y otra información crítica.
Origen Regional y Riesgos Globales
El análisis del código de Zanubis revela el uso de la variante latinoamericana del español, mientras que los atacantes demuestran un conocimiento profundo de las organizaciones financieras locales. Esto indica el origen latinoamericano del grupo especializado en ataques contra usuarios de esta región.
A pesar de su especificidad regional, los expertos enfatizan la importancia del monitoreo de estas campañas maliciosas por parte de especialistas a nivel mundial. Los cibercriminales frecuentemente adoptan técnicas y narrativas entre sí, adaptándolas para su uso en otras regiones geográficas.
La aparición de nuevas versiones de trojans bancarios como Zanubis subraya la importancia crítica de mantener principios básicos de seguridad móvil. Los usuarios deben instalar aplicaciones exclusivamente desde tiendas oficiales, ser cautelosos con las solicitudes de permisos y mantener actualizado su software antivirus. Solo un enfoque integral de protección puede garantizar la seguridad de los datos financieros en la era de las amenazas cibernéticas en constante evolución.
