Expertos en ciberseguridad alertan por Zanubis, un nuevo troyano bancario para Android que ha atacado a cerca de 40 aplicaciones de bancos y entidades financieras en Perú. Este virus realiza ataques tipo ‘mano fantasma‘, lo que lo convierte en una amenaza latente para usuarios de la banca en línea en Latinoamérica.
Zanubis, un nuevo troyano bancario en América Latina
Zanubis es un troyano bancario de origen peruano que lidera el ranking de intentos de ataque y representa casi el 50% de los bloqueos realizados por Kaspersky en el país sudamericano en lo que va del año.
El blanco principal de este malware son las apps de bancos e instituciones financieras con el fin de robar las credenciales de acceso y secuestrar los mensajes SMS enviados a la víctima por las instituciones bancarias.
Este troyano realiza un ataque de ‘mano fantasma’: ¿cómo opera?
Los troyanos de acceso remoto (RATs), tales como Zanubis, realizan ataques tipo ‘mano fantasma‘ que permiten a los ciberdelincuentes realizar fraudes bancarios utilizando el smartphone de la víctima para burlar las defensas en la banca móvil.
El usuario se infecta cuando baja una aplicación maliciosa, la cual simula ser de organizaciones legítimas, fuera de la tienda oficial. El malware revisa si es la primera vez que se ejecuta en el dispositivo y si cuenta con permisos para ingresar al Menú de Accesibilidad del teléfono.
De lo contrario, muestra mensajes con alertas de “es necesario actualizar la app”. Esta función está presente en todos los dispositivos Android para ayudar a personas con discapacidad a configurar el teléfono con tecnologías de asistencia.
Sin embargo, los ciberdelincuentes explotan esta herramienta para manipular las aplicaciones en el equipo infectado con comandos remotos. Sin este acceso, Zanubis no podría llevar a cabo el fraude en las apps bancarias.
El malware también solicita ser la aplicación predeterminada para la validación de mensajes SMS. Esta configuración le permite robar los códigos de activación o verificación que las instituciones financieras envían a la víctima vía mensajes de texto.
Cuando la amenaza intercepta uno de estos mensajes, Zanubis lo elimina para borrar evidencia del fraude. Una vez en operación, el virus muestra la página web legítima de la institución bancaria que utiliza el usuario para realizar pagos. Esta fase es notable ya que sirve para evitar que la persona sospeche que ha sido víctima de un ataque.
Así ataca este troyano a los usuarios de la banca móvil
La estafa de la “mano fantasma” empieza cuando el troyano identifica que la víctima utiliza alguna de las aplicaciones de una lista compuesta por 38 apps de instituciones financieras, así como las de Gmail y WhatsApp, para robar o monitorear la información de sus víctimas.
- En esta etapa, Zanubis registra todos los textos digitados en el equipo y graba la pantalla con el fin de robar las credenciales de ingreso a las apps.
Según los expertos, el robo de dinero a través de las apps financieras o de la banca móvil se realiza cuando la víctima del dispositivo infectado no lo está utilizando, o no pueda hacerlo, ya que Zanubis puede bloquear el uso del teléfono mediante actualizaciones falsas de Android.
Ni el uso de datos biométricos salva a las víctimas de “mano fantasma”
Cuando el dueño del dispositivo infectado haya configurado la verificación biométrica para ingresar a sus cuentas, el fraude se produce durante el segundo acceso a la aplicación bancaria para que el programa malicioso pueda forzar la verificación facial o mediante la huella digital.
En esta caso, el malware podría oscurecer la pantalla del teléfono infectado para imitar el bloqueo del teléfono y engañar a la víctima para que use el desbloqueo biométrico.
¡Zanubis puede llegar a México!
Los expertos de Kaspersky atribuyen el origen de Zanubis a Perú, y advierten que “podría expandirse por la región” debido a que el idioma utilizado por los desarrolladores es el español con un gran conocimiento de la jerga y frases comunes.
“Desde el punto de vista técnico, este troyano peruano es tan avanzado como las amenazas creadas en Brasil, las cuales han dominado los ataques de fraude bancario en América Latina. Sin embargo, Zanubis se beneficia de su conocimiento del sistema financiero local”.
Kaspersky
[Te podría interesar: Virus bancarios atacan a clientes de estos bancos. ¡Ten cuidado!]
“Aunque por el momento sus actividades están centradas en Perú, la posibilidad de que se expanda o surja una amenaza similar en los países de la región es alta”, dice Fabio Assolini, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.
Por eso, es importante que tanto los usuarios como las entidades financieras estén informados sobre cómo funciona Zanubis y los ataques de ‘mano fantasma’”, explica también el experto.
Consejos para evitar caer en ataques de ‘mano fantasma’ por Zanubis
Zanubis representa el 45% de los troyanos bancarios bloqueados en Perú por Kaspersky. En comparación, los troyanos brasileños representan alrededor del 25% de los intentos de infección que bloquean en el país. Por esta razón los expertos emiten consejos para no caer en este ataque:
- Instalar aplicaciones de fuentes confiables, idealmente desde las tiendas de aplicaciones oficiales
- Verificar los permisos solicitados por las aplicaciones: si no corresponden con la tarea o propósito de la app significaría un grave peligro
- Usar una solución de seguridad integral que le proteja contra software malicioso y sus acciones
- No hacer clic en enlaces de correos electrónicos, redes sociales o mensajes SMS no deseados.
- No realizar el procedimiento de rooting del dispositivo que proporcionará a los ciberdelincuentes posibilidades ilimitadas
En el caso de las organizaciones financieras, es importante que los equipos de seguridad cuenten con reportes de inteligencia de amenazas para mantenerse al tanto de las tácticas que emplean los ciberdelincuentes contra el sector, lo que les permitirá tomar las medidas de seguridad adecuadas e informar a sus usuarios sobre la estafa y cómo protegerse.
