Експерти з кібербезпеки виявили значну активність оновленої версії Android-банкера Zanubis, який становить критичну загрозу для користувачів мобільних фінансових сервісів та власників криптовалютних активів. Нова ітерація шкідливого програмного забезпечення демонструє вражаючу еволюцію функціональних можливостей, що викликає серйозне занепокоєння серед фахівців інформаційної безпеки.
Розширені можливості сучасного банківського трояна
Актуальна версія Zanubis володіє значно розширеним інструментарієм для компрометації Android-пристроїв. Ключові функції включають перехоплення облікових даних фінансових додатків, викрадення інформації з криптовалютних гаманців, кейлогер для фіксації натискань клавіш та автоматичне створення знімків екрана. Такий комплексний функціонал дозволяє кіберзлочинцям отримувати максимальний обсяг конфіденціальних даних із заражених пристроїв.
Дослідники “Лабораторії Касперського” встановили, що троян використовує складні техніки маскування, імітуючи офіційні додатки відомих перуанських фінансових установ та енергетичних компаній. Поширення відбувається через методи соціальної інженерії з використанням підроблених рахунків та інструкцій від фіктивних банківських консультантів.
Еволюція загрози: від початкового виявлення до сучасних атак
Zanubis вперше привернув увагу дослідників у 2022 році, первинно фокусуючись на атаках проти користувачів фінансових організацій та криптовалютних бірж у Перу. Унікальною особливістю трояна є здатність обманним шляхом отримувати доступ до служб спеціальних можливостей Android (Accessibility Services), що забезпечує майже повний контроль над скомпрометованим пристроєм.
Протягом 2023 року функціональність банкера суттєво розширилася. Окрім традиційного маскування під фінансові та криптовалютні застосунки, зловмисники почали створювати підроблені версії офіційного додатка перуанського Національного управління митної та податкової адміністрації (SUNAT), що свідчить про високий рівень професіоналізму розробників malware.
Сценарії розповсюдження та техніки соціальної інженерії
Кіберзлочинці застосовують два основні сценарії для поширення Zanubis. У першому випадку вони видають себе за представників енергетичних компаній, надсилаючи потенційним жертвам APK-файли з назвами, що містять терміни “Boleta” (рахунок) або “Factura” (рахунок-фактура). Ці файли позиціонуються як додатки для перевірки несплачених документів.
Другий сценарій передбачає імітацію банківської взаємодії, коли користувачеві надсилається заражений установочний файл під виглядом інструкції від банківського консультанта. Такий підхід експлуатує довіру користувачів до офіційних фінансових інститутів, що значно підвищує ефективність атак.
Механізм зараження та технічні деталі
Після встановлення шкідливого додатка на екрані пристрою з’являється логотип енергетичної компанії або банку, супроводжуваний повідомленням про проведення перевірки. Троян запитує дозвіл на доступ до служб спеціальних можливостей, мотивуючи це необхідністю коректної роботи застосунку.
Отримавши необхідні дозволи, Zanubis здобуває можливість перехоплювати всю інформацію, що відображається на екрані пристрою, включаючи вміст сповіщень. Це дозволяє зловмисникам отримувати доступ до паролів, PIN-кодів, даних банківських карт та іншої критично важливої інформації.
Географічна спрямованість та глобальні ризики
Аналіз коду Zanubis показує використання латиноамериканського варіанта іспанської мови, а зловмисники демонструють глибоке знання місцевих фінансових організацій. Це вказує на латиноамериканське походження групи, що спеціалізується на атаках проти користувачів цього регіону.
Незважаючи на регіональну специфіку, експерти підкреслюють важливість моніторингу подібних шкідливих кампаній фахівцями по всьому світу. Кіберзлочинці часто запозичують техніки та легенди один у одного, адаптуючи їх для використання в інших географічних регіонах.
Поява нових версій банківських троянів, подібних Zanubis, підкреслює критичну важливість дотримання базових принципів мобільної безпеки. Користувачам слід встановлювати додатки виключно з офіційних магазинів, обережно ставитися до запитів дозволів та регулярно оновлювати антивірусне програмне забезпечення. Лише комплексний підхід до захисту може забезпечити надійну охорону фінансових даних в епоху еволюційних кіберзагроз.
