Zanubis es un software malicioso clasificado como troyano bancario. Este malware se dirige a los sistemas operativos (SO) de Android. La función principal de este programa es obtener sigilosamente las credenciales de la cuenta bancaria en línea y obtener acceso a los fondos almacenados en ella. Zanubis apunta a los bancos latinoamericanos, en particular a los que tienen sede en Perú.
Como es habitual en este tipo de malware, Zanubis abusa de los Servicios de Accesibilidad de Android para llevar a cabo sus operaciones maliciosas. Estos servicios están diseñados para dar una ayuda extra a los usuarios que la necesitan a la hora de interactuar con sus dispositivos. Los Servicios de accesibilidad de Android pueden leer las pantallas de los dispositivos, simular la pantalla táctil y ayudar a realizar otras acciones. Por lo tanto, el malware que abusa de estos servicios obtiene este nivel de control sobre el sistema infectado.
Este malware recopila los siguientes datos del dispositivo: fabricante (especialmente si el dispositivo es Samsung, Huawei o Motorola), modelo, huella digital, lista de aplicaciones instaladas, lista de contactos, etc. Este troyano bancario también tiene como objetivo obtener el permiso de la batería, con el que podría eximirse de los procesos de optimización (es decir, evitar ser puesto a «dormir»).
Zanubis es capaz de enviar SMS y mostrarle a la víctima varias notificaciones. Otras funcionalidades incluyen la eliminación de aplicaciones y el bloqueo de la pantalla del dispositivo.
El objetivo principal de Zanubis es adquirir las credenciales de inicio de sesión de las aplicaciones bancarias específicas. El malware logra esto mostrando pantallas superpuestas; en otras palabras, muestra pantallas de inicio de sesión falsas que registran la información (ID, nombres de usuario, direcciones de correo electrónico, contraseñas, OTP, etc.) ingresadas en ellas.
Con estos datos en su poder, los ciberdelincuentes pueden obtener el control de la cuenta bancaria expuesta y sus fondos. Los delincuentes pueden usar eso para realizar transacciones no autorizadas y/o compras en línea.
En resumen, las infecciones de Zanubis pueden provocar graves problemas de privacidad, pérdidas financieras significativas y robo de identidad. Si sospecha que su dispositivo está infectado con Zanubis (u otro malware), le recomendamos encarecidamente que utilice un antivirus para eliminarlo de inmediato.
Indicadores asociados (IOC)
- 0198b8fa11bf9e8442defa00befa2ab224ada5ebb4a60256f2bf5fc491cca0a1
- 33adbff1a79da4a3fde49cececac5a6b99bf217be0c6db6cdf85a46bf2087e57
- 95242e1d105de9c33b2c9d8a9514f58327ca32d7d24af9af19ff3f0d075ea451
- 9b512b9809b72b11d7bca5712517d34d6b3c4009f5518af31e5094671ec737b5
- 9da516e0a2d17efe8646c1e93450cb80beafabbeb362f992ce6de0a0365da142
- d03deb4f97ee45ec9651dc5d54db8ca523dc4307521cae3f88b966fa9bc29096
- http[:]//92.38.132.217[:]8000/socket[.]io/?EIO=4&transport=polling&sid=aqOxTFmMn8gXqrvMAAru
- https[:]//justpaste[.]it/8j6de
- http[:]//004.fullcircleteam[.]com/014/e08133e07fc400a116ed6ef01cfde577/inicio?c000=mnn
- https[:]//001.fullcircleteam[.]com/?c000=mnn
- https[:]//002.fullcircleteam[.]com/?c000=mnn
- https[:]//003.fullcircleteam[.]com/?c000=mnn
Recomendaciones
- Mantener el software con actualizaciones de seguridad.
- Instale Antivirus y/o EDR en todos los puntos finales.
- Bloquear IOCs a nivel perimetral.
- Utilice un sistema confiable y licenciado para respaldar los archivos del servidor.
Para mayor información
- https://www.pcrisk.com/removal-guides/24747-zanubis-trojan-android
- https://unaaldia.hispasec.com/2022/09/investigacion-troyano-bancario-zanubis-latam.html
- https://www.entdark.net/2022/09/zanubis-latam-banking-trojan.html?spref=tw&m=1
- https://www.virustotal.com/gui/collection/1857e2a8e8677e5f0b0edb38dff9e83795cd50be1e4f8771e2d374f99e4edb45