Троян Zanubis нацелен на кражу данных для входа в финансовые платформы и криптокошельки. Кроме того, он оснащен функцией записи нажатий клавиш и создания скриншотов.
Согласно данным аналитиков из «Лаборатории Касперского», Троян Zanubis искусно подделывает приложения известного перуанского банка и энергетической компании, распространяясь посредством поддельных счетов и инструкций от лже-“банковского консультанта”.
Zanubis известен экспертам с 2022 года, и его основной целью являются пользователи финансовых учреждений и криптовалютных бирж в Перу. Ранее сообщалось, что троян обманным путем получает разрешение на использование Accessibility Services (специальных возможностей), что позволяет ему получить полный контроль над устройством.
Изначально банкер маскировался под финансовые и криптовалютные приложения для Android, но в 2023 году он стал имитировать официальное приложение перуанского Национального управления таможенной и налоговой администрации (SUNAT), что свидетельствует о его усовершенствовании.
В новом отчете исследователи подчеркивают, что, несмотря на то, что Троян Zanubis в основном активен в Перу, приманки с поддельными инструментами для проверки неоплаченных счетов могут использоваться и в других странах.
Потенциальных жертв убеждают скачать Zanubis, используя методы социальной инженерии. Когда злоумышленники выдают себя за энергетическую компанию, они отправляют пользователям APK-файлы, содержащие в названии слова “Boleta” (“счет”) или “Factura” (“счет-фактура”), имитируя приложение для проверки неоплаченных документов.
В другом сценарии, когда злоумышленники имитируют общение с банком, они отправляют жертве зараженный установочный файл, представляя его как инструкцию от “банковского консультанта”.
После загрузки и запуска вредоносного приложения на смартфоне отображается логотип энергетической компании или банка, а также уведомление о проведении некой проверки. Приложение запрашивает доступ к Accessibility Services, утверждая, что это необходимо для его корректной работы.
В действительности, вредоносное ПО, используя функции специальных возможностей Android, похищает личные сведения, поскольку Zanubis получает несанкционированный доступ к информации, отражаемой на дисплее и в уведомлениях пользователя.
“Исходя из использования латиноамериканского варианта испанского языка в коде Zanubis и осведомленности атакующих о местных финансовых институтах, вероятно, злоумышленники происходят из Латинской Америки и нацелены на пользовательские данные из этого же региона. Тем не менее, мониторинг подобных вредоносных кампаний имеет решающее значение для экспертов по всему миру, чтобы улучшать системы защиты. Злоумышленники могут адаптировать тактики и методы друг друга для применения в других регионах”, – отмечает Дмитрий Галов, глава российского исследовательского центра Kaspersky GReAT.