Zanubis, troyano bancario para Android, tiene en la mira a cerca de 40 aplicaciones de bancos y otras entidades financieras en el Perú. Según datos de la empresa, es la amenaza financiera más detectada en ese país.
Desde hace varios años, los especialistas de Kaspersky vienen informando
sobre cómo los troyanos de acceso remoto (RATs) realizan ataques tipo 'mano
fantasma' que le permiten a los ciberdelincuentes realizar fraudes bancarios
utilizando el dispositivo de la víctima para burlar las defensas en la banca
móvil. Este modelo de cibercrimen estuvo dominado por los troyanos brasileños
(siendo Ghimob el más activo en Perú) hasta la aparición de Zanubis el año
pasado. Con varios indicadores que sugieren que es de origen peruano, este
malware ya lidera el ranking de intentos de ataque y representa casi el 50% de
los bloqueos realizados por Kaspersky en ese país en lo que va del año.
Esta nueva amenaza financiera llamó la atención de los expertos de
Kaspersky por su complejidad. Según el análisis de la empresa, aunque el nivel
técnico de Zanubis está a la par de los infames troyanos brasileños y emplea la
misma táctica, sus objetivos se limitan a las apps de bancos e instituciones
financieras que operan en el Perú con el fin de robar las credenciales de acceso
a estas y secuestrar los mensajes SMS enviados a la víctima por las
instituciones bancarias.
El principal modo de infección de Zanubis ocurre cuando el usuario baja
una aplicación maliciosa fuera de la tienda oficial. El troyano intenta hacerse
pasar por las aplicaciones Android de la organización gubernamental peruana
SUNAT* (Superintendencia Nacional de Aduanas y de Administración Tributaria)
para engañar la víctima. En otras palabras, la amenaza utiliza el nombre y el
icono de la app gubernamental legítima de manera ilegal.
Al momento que el usuario descarga la app falsa, el malware revisa si es
la primera vez que se ejecuta en el dispositivo y si cuenta con permisos al
Menú de Accesibilidad del teléfono. De lo contrario, Zanubis es capaz de mostrar
mensajes con alertas de “es necesario actualizar la app” para lograrlo. Es
importante señalar que esta función está presente en todos los dispositivos
Android, pues su objetivo es ayudar a personas con alguna discapacidad
configurar el teléfono con tecnologías de asistencia. Sin embargo, los
ciberdelincuentes explotan esta herramienta legítima para manipular las
aplicaciones en el equipo infectado con comandos remotos. Sin este acceso,
Zanubis no podría llevar a cabo el fraude en las apps bancarias.
Otra acción que el malware realiza es solicitar ser la aplicación
predeterminada para la validación de mensajes SMS. Esta configuración le
permite robar los códigos de activación o verificación que las instituciones
financieras envían a la víctima vía mensajes de texto. Es importante mencionar
que cuando la amenaza intercepta uno de estos mensajes, el malware lo elimina
para borrar evidencia del fraude.
Una vez operativo (con ejecución en segundo plano y permiso para operar
otras apps), Zanubis muestra una página web legítima de SUNAT donde los
clientes pueden buscar deudas. Esta fase es notable ya que sirve para evitar
que el usuario sospeche que ha sido víctima de un ataque.
La estafa empieza cuando el troyano identifica que la víctima utiliza
aplicaciones específicas – la lista está compuesta por 38 apps de instituciones
financieras que operan en Perú, así como las apps de Gmail y WhatsApp; estas
últimas para robar o monitorear la información de sus víctimas. En esta etapa,
Zanubis registra todos los textos digitados en el equipo y graba la pantalla
con el fin de robar las credenciales de ingreso a las apps.
No hay comentarios:
Publicar un comentario