A fost detectată o nouă versiune a bancherului Android Zanubis. Troianul este capabil să fure acreditări de la serviciile financiare, precum și date din portofelele de criptomonede. De asemenea, are funcționalități de keylogger și face capturi de ecran.
Potrivit analiștilor Kaspersky Lab, Zanubis imită aplicațiile unei bănci și ale unei companii energetice peruane reale și este distribuit sub forma unor facturi emise către utilizator și a unor instrucțiuni de la un „consultant bancar”.
Zanubis este cunoscut de experți încă din 2022 și atacă de obicei utilizatorii organizațiilor financiare și ai burselor de criptomonede din Peru. La momentul respectiv, s-a raportat că troianul păcălește utilizatorii să acceseze serviciile de accesibilitate pentru a obține controlul deplin asupra dispozitivului lor.
În primele zile de activitate, bancherul s-a deghizat într-un serviciu financiar și de criptomonede pe Android, dar în 2023, a apărut o imitație a aplicației oficiale a Direcției Naționale Peruane a Vămilor și Administrației Fiscale (SUNAT), iar Zanubis a devenit mai avansat.
În noul lor raport, cercetătorii notează că, deși Zanubis este activ în Peru, momelile cu un instrument fals de verificare a facturilor neplătite ar putea fi utilizate și în alte regiuni.
Victimele potențiale sunt convinse să descarce Zanubis prin inginerie socială. Atunci când atacatorii pretind că sunt o companie energetică, trimit utilizatorilor fișiere APK cu nume care conțin cuvintele Boleta („factură”) sau Factura („factură”). Ei mimează o aplicație de verificare a documentelor neplătite.
Într-un scenariu în care atacatorii simulează o comunicare a victimei cu o bancă, aceștia trimit utilizatorului un fișier de instalare infectat care este poziționat ca o instrucțiune de la un „consultant bancar”.
De îndată ce un utilizator descarcă și lansează o aplicație malițioasă pe smartphone-ul său, pe ecran apare logo-ul unei companii energetice sau al unei bănci, împreună cu o notificare privind un anumit tip de verificare. Aplicația solicită acces la serviciile de accesibilitate, deoarece se presupune că acest lucru este necesar pentru funcționarea corectă.
Cu toate acestea, malware-ul fură de fapt date sensibile prin intermediul funcțiilor speciale Android, deoarece Zanubis accesează informațiile afișate pe ecran și în notificări.
„Codul Zanubis utilizează limba spaniolă din America Latină, iar atacatorii cunosc bine organizațiile financiare locale, așa că putem presupune că atacatorii sunt probabil din America Latină și vizează datele utilizatorilor din aceeași regiune. În orice caz, este esențial ca specialiștii din întreaga lume să fie cu ochii pe astfel de campanii malware pentru a-și îmbunătăți instrumentele de apărare, deoarece atacatorii pot adopta tehnici și legende unii de la alții și le pot folosi în alte regiuni”, avertizează Dmitry Galov, Head of Kaspersky GReAT Rusia.
