Troyano Zanubis, una nueva amenaza para la banca móvil

CDMX

El año pasado surgió en América Latina un troyano bancario llamado Zanubis que podría convertirse en una amenaza importante para la región, por lo que tanto instituciones financieras como los usuarios deben estar alerta.

Fabio Assolini, director del equipo de investigación y análisis para América Latina en Kaspersky, explicó que existen varios indicadores que sugieren que Zanubis es de origen peruano.

Lo primero es que el idioma utilizado por los desarrolladores es el español y se puede reconocer un gran conocimiento de la jerga y frases comunes de Perú.

A esto se añade una gran afinidad por los bancos y entidades financieras peruanas, siendo estas aplicaciones su único objetivo por el momento. Muestra de ello es que Zanubis ya lidera el ranking de intentos de ataque y representa casi el 50% de los bloqueos realizados por Kaspersky en Perú en lo que va del año.

Otra señal es que, según la telemetría, todas las nuevas muestras enviadas de este troyano parecen provenir de un remitente en Perú.

“Desde el punto de vista técnico, este troyano peruano es tan avanzado como las amenazas creadas en Brasil, las cuales han dominado los ataques de fraude bancario en América Latina. Sin embargo, Zanubis se beneficia de su conocimiento del sistema financiero local”, resaltó en un blog.

Assolini consideró que, aunque por el momento las actividades de Zanubis están centradas en Perú, la posibilidad de que se expanda o surja una amenaza similar en los países de la región es alta, por lo que México deberá estar alerta.

“Por eso, es importante que tanto los usuarios como las entidades financieras estén informados sobre cómo funciona”, añadió.

ASÍ ES EL MECANISMO
El principal modo de infección de Zanubis ocurre cuando el usuario baja una aplicación maliciosa, la cual simula ser de una marca, empresa u organización legítima, fuera de la tienda oficial.

De esta manera, el troyano revisa si es la primera vez que se ejecuta en el dispositivo y si cuenta con permisos para ingresar al Menú de Accesibilidad del teléfono.

Si bien dicha función está presente en todos los dispositivos Android, los ciberdelincuentes la explotan para manipular las aplicaciones en el equipo infectado con comandos remotos.

Este código malicioso también solicita ser la aplicación predeterminada para la validación de mensajes SMS con el objetivo de robar los códigos de activación o verificación que las instituciones financieras envían a la víctima vía mensajes de texto.

Una vez en operación, Zanubis muestra la página web legítima de la institución bancaria que utiliza el usuario para realizar pagos, lo que evita que la persona sospeche que ha sido víctima de un ataque.

Una vez infectado el equipo, el troyano puede registrar todos los textos digitados en el equipo y grabar la pantalla con el fin de robar las credenciales de ingreso a las apps.

De acuerdo con Kaspersky, el robo de dinero a través de las aplicaciones financieras o de la banca móvil se realiza cuando la víctima del dispositivo infectado no lo está utilizando. La otra opción es que el usuario tenga activada la verificación biométrica y, en ese caso, el robo se produce en el segundo acceso a la aplicación bancaria porque el código malicioso podría oscurecer la pantalla del teléfono para imitar el bloqueo del y engañar a la víctima para que use el desbloqueo biométrico.

Para protegerse:

• Instalar aplicaciones de fuentes confiables, idealmente desde las tiendas de aplicaciones oficiales
• Verificar los permisos solicitados por las aplicaciones: si no corresponden con la tarea o propósito de la app significaría un grave peligro
• Usar una solución de seguridad integral que le proteja contra software malicioso y sus acciones
• No hacer clic en enlaces de correos electrónicos, redes sociales o mensajes SMS no deseados
• No realizar el procedimiento de rooting del dispositivo que proporcionará a los ciberdelincuentes muchas posibilidades.

---