Kaspersky reveló un inédito malware de origen peruano que se erige como la principal amenaza, acaparando casi la mitad de los bloqueos en lo que va del 2023. Según la firma internacional dedicada a la seguridad informática, esta amenaza ha redefinido el panorama que previamente estaba dominado por troyanos brasileños como Ghimob.
Zanubis, detectado por primera vez en agosto del 2022, presenta características que sugieren fuertemente su origen peruano.
Kaspersky reportó que los desarrolladores emplean el español con un conocimiento profundo de la jerga local, y su enfoque exclusivo en bancos e instituciones financieras peruanas refuerza esta conexión. Durante el análisis, los expertos observaron envíos a VirusTotal desde remitentes en Perú, añadiendo un elemento inesperado a la investigación.
LEA TAMBIÉN: Entidades ‘de misión crítica’ en Perú, las más vulnerables a los ataques ransomware
“Desde el punto de vista técnico, este troyano peruano es tan avanzado como las amenazas creadas en Brasil, las cuales han dominado los ataques de fraude bancario en América Latina. Sin embargo, Zanubis se beneficia de su conocimiento del sistema financiero peruano. Además de la lista de aplicaciones a las que el malware apunta para cometer fraudes, la amenaza ya representa el 45% de los troyanos bancarios bloqueados en Perú por las tecnologías de Kaspersky. En comparación, los troyanos brasileños representan alrededor del 25% de los intentos de infección que bloqueamos en el país”, explica Fabio Assolini, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.
| Nombre del troyano | Más bloqueados por % | ||
|---|---|---|---|
| Zanubis | 45.76% | ||
| Banbra | 23.24% | ||
| Agent | 18.89% | ||
| Ermak | 4.12% | ||
| Svpeng | 3.39% | ||
| Asacub | 2.42% | ||
| Basbanke | 2.18% | ||
La complejidad de esta nueva amenaza financiera ha captado la atención de los expertos, ya que, a pesar de su nivel técnico comparable a los troyanos brasileños, Zanubis se enfoca exclusivamente en las aplicaciones de bancos e instituciones financieras operativas en Perú, buscando el robo de credenciales y la interceptación de mensajes SMS.
LEA TAMBIÉN: Expertos alertan que la Inteligencia Artificial puede afectar los procesos electorales
¿Cómo se realiza el hackeo?
“Hoy en nuestras estadísticas Zanubis es la amenaza móvil N° 1 en Perú, y ya pasó a todas las otras”, destacó Fabio Assolini.
En este escenario, los hackers han creado un virus troyano capaz de imitar la interface de aplicaciones Android, como la de la Superintendencia Nacional de Aduanas y de Administración Tributaria (Sunat), para engañar la víctima. En síntesis, el virus detectado utiliza el nombre y el icono del aplicativo gubernamental de manera ilegal.
Cuando el usuario instala la aplicación falsa, el malware verifica si es la primera vez que se ejecuta en el dispositivo y si tiene acceso a los permisos del Menú de Accesibilidad del teléfono. En caso contrario, Zanubis utiliza tácticas como mostrar mensajes de alerta que indican “necesidad de actualizar la aplicación” para obtener dichos permisos. Es crucial destacar que esta función está presente en todos los dispositivos Android, ya que su propósito es facilitar la configuración del teléfono con tecnologías de asistencia para personas con discapacidad.
A pesar de ser una herramienta legítima, los ciberdelincuentes aprovechan esta funcionalidad para manipular aplicaciones en el equipo infectado mediante comandos remotos, permitiendo así a Zanubis llevar a cabo fraudes en aplicaciones bancaria.
Además, el malware busca convertirse en la aplicación predeterminada para la validación de mensajes SMS, una configuración que le posibilita el robo de códigos de activación o verificación enviados por instituciones financieras a la víctima a través de mensajes de texto. Es relevante destacar que, al interceptar estos mensajes, Zanubis los elimina para borrar cualquier rastro de su actividad fraudulenta.
LEA TAMBIÉN: Apple y Goldman casi lanzan herramienta de compra y venta de acciones para iPhone
Una vez operativo (con ejecución en segundo plano y permiso para operar otras apps), Zanubis muestra una página web legítima de SUNAT donde los clientes pueden buscar deudas. Esta fase es notable ya que sirve para evitar que el usuario sospeche que ha sido víctima de un ataque.
“Una vez que se instala la aplicación, el troyano tendrá acceso total y de forma remota a teléfono, a Yape, Plin, banca móvil, etc”, señaló el ejecutivo.
De acuerdo a la empresa, la trampa se inicia con la identificación por parte del troyano de que la víctima emplea aplicaciones específicas de una lista de 38 apps de instituciones financieras en funcionamiento en Perú, así como las aplicaciones de Gmail y WhatsApp.
En esta fase, el malware registra cada texto ingresado en el dispositivo y captura la pantalla para sustraer las credenciales de acceso a las aplicaciones. La firma de seguridad advierte que el desfalco de dinero a través de las aplicaciones financieras o de banca móvil ocurre cuando la víctima no está utilizando activamente el dispositivo o no puede hacerlo, ya que Zanubis puede bloquear el uso del teléfono mediante actualizaciones falsas de Android.
LEA TAMBIÉN: Amenazas digitales: El porcentaje de peruanos que usa su equipo personal para trabajar
¿Cómo protegerse mejor?
De acuerdo con Karspesky si bien se ha popularizado el uso de los teléfonos móviles en el mundo después de la pandemia, aún las personas eligen prescindir de utilizar un antivirus para cuidarlo.
“Mucha gente no usa protección en los teléfonos, pese a que hoy la importancia de los móviles en nuestra vida es gigante”, señaló.
Y si bien la instalación de un antivirus es una de las recomendaciones para evitar caer en la trampa de los malware, los expertos en ciberseguridad también aconsejan descargar aplicaciones únicamente desde la tienda oficial.
“Hay cosas básicas, como no instalar software que no conozcas, así llegue el banco o cualquier entidad gubernamental. Nadie debe descargar aplicativos de foros, de lo que pasen por WhatsApp, hay muchos aplicativos falsos y camuflados”, apuntó.
LEA TAMBIÉN: Microsoft: brecha en cuenta de ingeniero llevó a hackeo chino de funcionarios de EE.UU.
Según el ethical hacker, algunos aplicativos pueden robar más información si el celular es “manipulado” (root), es decir, “que se abra al código de desarrollador”, dado que esto facilita el robo por parte del malware.
“Existen antivirus para móviles y celulares, no funcionan igual que en un computador, pero sí evita comportamientos anómalos”, destacó. En tanto, dijo que para evitar caer en la trampa de los malware, también se deben cumplir con todos las medidas de seguridad que exigen los aplicativos bancarios.
En ese orden de ideas, el ejecutivo Fabio Assolini de Karspersky destacó estas recomendaciones para evitar caer en Zanubis:
- Solo instalar aplicaciones de fuentes confiables: Prefiera descargar aplicaciones exclusivamente desde las tiendas de aplicaciones oficiales.
- Verificar los permisos solicitados por la aplicación: Revise si los permisos requeridos coinciden con las funciones legítimas de la aplicación. Por ejemplo, si una aplicación de linterna solicita acceso a los mensajes y llamadas, podría ser sospechosa.
- No hacer clic en enlaces no solicitados: Evite hacer clic en enlaces incluidos en correos electrónicos, mensajes SMS o redes sociales que no haya solicitado.
- Evitar el rooting del dispositivo: No realice el procedimiento de “rooting” en su dispositivo, ya que esto puede proporcionar a los ciberdelincuentes acceso ilimitado y poner en riesgo la seguridad.
