El Troyano Zanubis, una nueva amenaza para la banca móvil

El año pasado surgió en América Latina un troyano bancario llamado Zanubis que podría convertirse en una amenaza importante para la región, por lo que tanto instituciones financieras como los usuarios deben estar alerta.

Fabio Assolini, director del equipo de investigación y análisis para América Latina en Kaspersky, explicó que existen varios indicadores que sugieren que Zanubis es de origen peruano.

Lo primero es que el idioma utilizado por los desarrolladores es el español y se puede reconocer un gran conocimiento de la jerga y frases comunes de Perú.

• A esto se añade una gran afinidad por los bancos y entidades financieras peruanas, siendo estas aplicaciones su único objetivo por el momento. Muestra de ello es que Zanubis ya lidera el ranking de intentos de ataque y representa casi el 50% de los bloqueos realizados por Kaspersky en Perú en lo que va del año.

Otra señal es que, según la telemetría, todas las nuevas muestras enviadas de este troyano parecen provenir de un remitente en Perú.

Desde el punto de vista técnico, este troyano peruano es tan avanzado como las amenazas creadas en Brasil, las cuales han dominado los ataques de fraude bancario en América Latina. Sin embargo, Zanubis se beneficia de su conocimiento del sistema financiero local", resaltó en un blog.

Assolini consideró que, aunque por el momento las actividades de Zanubis están centradas en Perú, la posibilidad de que se expanda o surja una amenaza similar en los países de la región es alta, por lo que México deberá estar alerta.

Por eso, es importante que tanto los usuarios como las entidades financieras estén informados sobre cómo funciona", añadió.

ASÍ ES EL MECANISMO

El principal modo de infección de Zanubis ocurre cuando el usuario baja una aplicación maliciosa, la cual simula ser de una marca, empresa u organización legítima, fuera de la tienda oficial.

• De esta manera, el troyano revisa si es la primera vez que se ejecuta en el dispositivo y si cuenta con permisos para ingresar al Menú de Accesibilidad del teléfono.
• Si bien dicha función está presente en todos los dispositivos Android, los ciberdelincuentes la explotan para manipular las aplicaciones en el equipo infectado con comandos remotos.

Este código malicioso también solicita ser la aplicación predeterminada para la validación de mensajes SMS con el objetivo de robar los códigos de activación o verificación que las instituciones financieras envían a la víctima vía mensajes de texto.