Por años, Brasil ha sido el principal exportador de en Latinoamérica. Los malwares más complejos y que han puesto a la región en jaque han salido de ahí. En Perú, las principales amenazas también solían proceder del país vecino. Sin embargo, esta situación ha cambiado recientemente. Un nuevo troyano bancario de desarrollo local se ha convertido en la amenaza más grande detectada en nuestro país en cuento a troyanos bancarios móviles por la compañía de ciberseguridad Kaspersky.

El malware lleva por nombre Zanubis y está orientado a atacar smartphones principalmente Android, que es la plataforma más utilizada, con entre el 80 y 90% de adopción. El troyano fue detectado por primera vez en agosto de 2022, sin embargo, disparó las alertas hace poco, cuando los ataques se incrementaron. Hoy por hoy, según la detección de troyanos bancarios móviles para Perú de Kaspersky, Zanubis ocupa el primer lugar de amenazas bloqueadas.

FAMILIA TROYANAMÁS BLOQUEADA POR PORCENTAJE
Zanubis45,76%
Banbra23,24%
Agent18,89%
Ermak4,12%
Svpeng3,39%
Asacub2,42%
Basbanke2,18%

*Datos de Kaspersky

MIRA: Ciberdelincuentes se hacen por operadoras móviles con el cuento de ofrecer 5G o resolver problemas con el servicio de internet

¿Cómo infecta Zanubis los dispositivos móviles y por qué es realmente peligroso?

Fabio Assolini, director del Equipo Global de Investigación y Análisis para Latinoamérica en Kaspersky, señala a El Comercio que, aunque no se ha rastrado cuál es el vector inicial del ataque, por el comportamiento de los usuarios de nuestro país, es probable que sea un correo malicioso, WhatsApp, SMS o un anuncio en las redes sociales.

Lo que sí se sabe es que los cibercriminales se valen del nombre de la Sunat para ganar credibilidad entre de sus víctimas. “Usan el nombre de Sunat para alertar sobre un problema relacionado con los impuestos, de tal manera que la víctima –preocupada– hace clic en un enlace adjunto y descarga la aplicación maliciosa”.

En otras palabras, la amenaza utiliza el nombre y el icono de la app gubernamental legítima de manera ilegal.

A pesar de no estar disponible en la Play Store, la tienda oficial de aplicaciones para Android, muchas personas la descargan. El troyano engaña al usuario al mostrarle el sitio web original de la Sunat, pero en realidad, lo que va a hacer es instalar una serie de malwares extremadamente peligrosos en segundo plano.

Al momento que el usuario descarga la app falsa, el malware revisa si es la primera vez que se ejecuta en el dispositivo y si cuenta con permisos al Menú de Accesibilidad del teléfono. De lo contrario, Zanubis es capaz de mostrar mensajes con alertas de “es necesario actualizar la app” para lograrlo. La función de accesibilidad está presente en todos los dispositivos Android, pues su objetivo es ayudar a personas con alguna discapacidad a configurar el teléfono con tecnologías de asistencia. Sin embargo, los ciberdelincuentes explotan esta herramienta legítima para manipular las aplicaciones en el equipo infectado con comandos remotos. Sin este acceso, el troyano podría llevar a cabo el fraude en las apps bancarias.

MIRA: Existen tres millones de vacantes sin cubrir en materia de ciberseguridad en todo el mundo

Otra acción que el malware realiza es solicitar ser la aplicación predeterminada para la validación de mensajes SMS. Esta configuración le permite robar los códigos de activación o verificación que las instituciones financieras envían a la víctima vía mensajes de texto. Con esto, cada vez que la amenaza intercepta uno de estos mensajes SMS, el malware lo elimina para borrar evidencia del fraude.

Una vez operativo (con ejecución en segundo plano y permiso para operar otras apps), Zanubis muestra una página web legítima de Sunat donde los clientes pueden buscar deudas. Esta fase es notable ya que sirve para evitar que el usuario sospeche que ha sido víctima de un ataque.

Malware sofisticado

“Primero, el troyano buscará y reconocerá las aplicaciones financieras que tengamos instaladas en nuestro smartphone. Luego, empezará a llenar el equipo con archivos maliciosos para hacerse con el control del mismo”, comenta a este Diario Assolini. Efectivamente, el troyano identificará si la víctima utiliza una de las 38 aplicaciones de instituciones financieras que operan en Perú, así como las apps de Gmail y WhatsApp; estas últimas para robar o monitorear la información de sus víctimas.

Algunos de estos archivos son keyloggers, que tienen la capacidad de registrar todo lo que se escribe en el teléfono, incluyendo nombres de usuario y contraseñas. Además, estos malwares pueden incluso reconocer los ‘copy-paste’. Con esta información en su poder, los delincuentes tienen el camino libre para acceder a las cuentas bancarias y vaciarlas.

¿Qué otras capacidades tiene Zanubis? Puede instalar o desinstalar otras aplicaciones en el equipo, bloquear el teléfono por completo, impidiendo que la víctima abra otra aplicación, ya que la pantalla principal queda congelada. También puede acceder a los contactos almacenados, interceptar mensajes SMS y acceder a cualquier sitio web. Esto facilita que los criminales descarguen otras aplicaciones maliciosas de manera sencilla si así lo desean.

Como si esto fuera poco, el troyano tiene la capacidad de instalar software de acceso remoto, como VNC, permitiendo al criminal acceder al teléfono sin que la víctima se percate, pues las operaciones maliciosas se ejecutan en segundo plano. Además, para evitar levantar sospechas, el operador remoto puede reducir al máximo el brillo de la pantalla, lo que llevará al usuario a creer que el dispositivo está apagado. También se vale de otro método que implica enviar una alerta que bloquea la pantalla bajo el pretexto de una supuesta actualización del sistema operativo; no obstante, en realidad se trata de un mensaje falso utilizado por el cibercriminal para intentar acceder al sistema del dispositivo sin ser detectado.

Y cuando el usuario afectado finalmente denuncie el robo y se intente investigar lo sucedido en su smartphone, el troyano se habrá borrado, eliminando cualquier evidencia de su presencia y todos los rastros que pudo haber dejado a su paso.

¿Cómo se determinó que Zanubis es de procedencia peruana?

Dos son las principales evidencias de que el troyano ha sido desarrollado en el país. “Por las evidencias que tenemos sabemos que es 100% desarrollado en Perú, ya que si fueran brasileños en algún momento encontraríamos un ‘portuñol’, pero realmente los textos han sido escritos por un nativo con gran conocimiento de la jerga y frases comunes”, asegura Assolini.

MIRA: La actualización de Windows 11 deja atrás las contraseñas y apuesta por ‘passkeys’

La segunda razón tiene que ver con el conocimiento del sistema financiero nacional. “El troyano conoce bien 38 aplicaciones móviles locales, entre los bancos más importantes de Perú, aunque también cajas financieras más pequeñas e incluso billeteras virtuales como Yape o Plin”, añade el especialista.

Recomendaciones para no ser víctima Zanubis

Las medidas más importantes que los usuarios deben tomar en cuenta para no caer en este ataque ni en algún otro, de acuerdo al investigador de Kaspersky, son los siguiente:

  • No instalar aplicaciones fuera de la tienda oficial: muchas veces para evitar pagar por alguna app recurrimos a versiones alteradas o modificadas, el problema es que estas pueden estar plagadas de archivos maliciosos. Siempre utiliza tiendas de aplicaciones legítimas, como Google Play Store en el caso de Android.
  • Configurar notificaciones y alertas en tus cuentas bancarias: aunque esto no previene por los ataques en sí, te permite mantener un seguimiento de posibles movimientos sospechosos en tus cuentas bancarias y actuar rápidamente para bloquearlas si es necesario.
  • Utilizar un antivirus. Assolini recomienda un antivirus, sobre todo en estas épocas en las que manejamos mucha información sensible en nuestros teléfonos móviles. Un antivirus puede detectar y prevenir amenazas antes de que causen daño.

Otras recomendaciones que valdría la pena tener en cuenta son, mantener siempre actualizado nuestros dispositivos, tanto el sistema operativo como las aplicaciones, así como ser muy cautos a la hora de abrir enlaces de correos o mensajes de texto. Es mejor corroborar una información comunicándonos a través de los canales oficiales de las entidades que dicen ser, ya sea bancos o la misma Sunat.

Contenido Sugerido

Contenido GEC