Un troyano bancario emergente para Android llamado Zanubis ahora se hace pasar por una aplicación del gobierno peruano para engañar a los usuarios desprevenidos para que instalen el malware.

Zanubis, documentado originalmente en agosto de 2022, es la última incorporación a una larga lista de malware bancario para Android dirigido a la región de América Latina (LATAM). Los objetivos incluyen más de 40 bancos y entidades financieras del Perú.

Es conocido principalmente por abusar de los permisos de accesibilidad en el dispositivo infectado para mostrar pantallas superpuestas falsas encima de las aplicaciones específicas en un intento de robar credenciales. también es capaz de recopilar datos de contactos, listas de aplicaciones instaladas y metadatos del sistema.

Instalar la aplicación y otorgarle permisos de accesibilidad le permite ejecutarse en segundo plano y cargar el sitio web genuino de SUNAT utilizando WebView de Android para crear una apariencia de legitimidad. Mantiene conexiones a un servidor controlado por actores para recibir comandos de la siguiente etapa a través de WebSockets.

Los permisos se aprovechan aún más para controlar las aplicaciones que se abren en el dispositivo y compararlas con una lista de aplicaciones específicas. Si se inicia una aplicación de la lista, Zanubis procede a registrar las pulsaciones de teclas o grabar la pantalla para desviar datos confidenciales.

Lo que distingue a Zanubis y lo hace más potente es su capacidad de pretender ser una actualización del sistema operativo Android, inutilizando efectivamente el dispositivo.