El malware también solicita ser la aplicación predeterminada para la validación de mensajes SMS. Esta configuración le permite robar los códigos de activación o verificación que las instituciones financieras envían a la víctima vía mensajes de texto. Es importante mencionar que cuando la amenaza intercepta uno de estos mensajes, el malware lo elimina para borrar evidencia del fraude.
Una vez en operación (con ejecución en segundo plano y permiso para operar otras apps), Zanubis muestra la página web legítima de la institución bancaria que utiliza el usuario para realizar pagos. Esta fase es notable ya que sirve para evitar que la persona sospeche que ha sido víctima de un ataque.
La estafa empieza cuando el troyano identifica que la víctima utiliza aplicaciones específicas – la lista está compuesta por 38 apps de instituciones financieras, así como las de Gmail y WhatsApp- estas últimas para robar o monitorear la información de sus víctimas. En esta etapa, Zanubis registra todos los textos digitados en el equipo y graba la pantalla con el fin de robar las credenciales de ingreso a las apps.
Según los expertos, el robo de dinero a través de las apps financieras o de la banca móvil se realiza cuando la víctima del dispositivo infectado no lo está utilizando, o no pueda hacerlo, ya que Zanubis puede bloquear el uso del teléfono mediante actualizaciones falsas de Android. La excepción es cuando el dueño del dispositivo infectado haya configurado la verificación biométrica para ingresar a sus cuentas. En este caso, el fraude se produce durante el segundo acceso a la aplicación bancaria para que el programa malicioso pueda forzar la verificación facial o mediante la huella digital. En ambos casos, el malware podría oscurecer la pantalla del teléfono infectado para imitar el bloqueo del teléfono y engañar a la víctima para que use el desbloqueo biométrico.
Aunque no se puede hacer una atribución definitiva con la información actualmente disponible, existen varios indicadores que sugieren que Zanubis es de origen peruano y que podría expandirse por la región. En primer lugar, el idioma utilizado por los desarrolladores es el español con un gran conocimiento de la jerga y frases comunes. Además, muestra gran afinidad por los bancos y entidades financieras peruanas, siendo estas apps su único objetivo por el momento. Otra señal inesperada es que mientras los expertos de Kaspersky realizaban el análisis de este malware, notaron varios envíos a la plataforma del VirusTotal. Según la telemetría, todas esas nuevas muestras enviadas aparecían provenir de un remitente en Perú.
“Desde el punto de vista técnico, este troyano peruano es tan avanzado como las amenazas creadas en Brasil, las cuales han dominado los ataques de fraude bancario en América Latina. Sin embargo, Zanubis se beneficia de su conocimiento del sistema financiero local. Además de la lista de aplicaciones a las que el malware apunta para cometer fraudes, la amenaza ya representa el 45% de los troyanos bancarios bloqueados en Perú por las tecnologías de Kaspersky. En comparación, los troyanos brasileños representan alrededor del 25% de los intentos de infección que bloqueamos en el país. Aunque por el momento sus actividades están centradas en el Perú, la posibilidad de que se expanda o surja una amenaza similar en los países de la región es alta. Por eso, es importante que tanto los usuarios como las entidades financieras estén informados sobre cómo funciona”, explica Fabio Assolini, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.
|