La firma de seguridad cibernética Kaspersky alertó sobre el ataque de cerca de 40 aplicaciones (apps) de bancos y otras entidades financieras en Perú, mediante la utilización del troyano bancario denominado Zanubis.
Según los investigadores, aunque no se puede hacer una atribución definitiva con la información actualmente disponible, existen varios indicadores que sugieren que Zanubis es de origen peruano y que podría expandirse por la región (el idioma utilizado por los desarrolladores es el español con un gran conocimiento de la jerga y frases comunes). También hay que considerar que, este software malicioso apareció por primera vez alrededor de agosto de 2022 y tiene como blanco instituciones financieras y usuarios de criptomonedas.
El vector principal de infección de Zanubis es suplantar aplicaciones Android peruanas legítimas, para después inducir al usuario para que habilite los permisos de accesibilidad con el fin de tomar el control total del dispositivo (ver detalles aquí).
Patrones de comportamiento
| Acción | |
| Usuario | Descarga la app maliciosa fuera de la tienda oficial |
| Malware Zanubis | – Revisa si es la primera vez que se ejecuta en el dispositivo y si cuenta con permisos para ingresar al menú de accesibilidad del teléfono (función presente en todos los dispositivos Android). – Identifica apps específicas – la lista está compuesta por 38 apps de instituciones financieras, así como las de Gmail y WhatsApp- estas últimas para robar o monitorear la información de sus víctimas. – Registra todos los textos digitados en el equipo y graba la pantalla con el fin de robar las credenciales de ingreso (sino, es capaz de mostrar mensajes con alertas de “es necesario actualizar la app” para lograrlo). – Solicita ser la aplicación predeterminada para la validación de mensajes SMS (para robar los códigos de activación o verificación que las instituciones financieras envían a la víctima vía mensajes de texto). – Cuando intercepta uno de estos mensajes, lo elimina para borrar evidencia del fraude. – El robo de dinero (a través de las apps financieras o de la banca móvil) se realiza cuando la víctima del dispositivo infectado no lo está utilizando, o no pueda hacerlo. – Puede bloquear el uso del teléfono mediante actualizaciones falsas (La excepción es cuando el dueño del dispositivo infectado haya configurado la verificación biométrica para ingresar a sus cuentas). |
Por otra parte, los expertos remarcaron que Zanubis está a la par “de los infames troyanos brasileños y emplea la misma táctica, centrándose en las apps de bancos e instituciones financieras con el fin de robar las credenciales de acceso y secuestrar los mensajes SMS enviados a la víctima por las instituciones bancarias”
Contexto
El panorama de amenazas para 2023 de Kaspersky reveló un aumento del 50% en los ataques de troyanos bancarios en la región, lo que equivale a 5 ataques por minuto (LATAM registra 7.160 ataques diarios).
Según el informe Threat Report T3 2022 (By ESET), en América Latina las amenazas dirigidas a Android registraron un crecimiento importante en los últimos cuatro meses de 2022, y también destaca:
- Brasil y México están entre los países con la mayor cantidad de detecciones de apps maliciosas que se hacen pasar por apps legítimas y que tienen como objetivo descargar otras aplicaciones maliciosas en el equipo infectado.
- El porcentaje de adopción de soluciones de seguridad para dispositivos móviles sigue siendo bajo.
- Los actores maliciosos continúan logrando distribuir malware a través de apps disponibles en Google Play y también campañas más sofisticadas, tanto para Android como iOS, con el objetivo de robar criptomonedas o realizar espionaje.
Al panorama anterior se suma el crecimiento que ha tenido la industria de la telefonía móvil en los últimos años, por ejemplo, según la asociación Global System for Mobile Communications (GSMA), la contribución de la telefonía móvil al PIB mundial ha aumentado más del doble desde 2012, en concreto ha pasado de aportar 1 a 5,2 billones de dólares en 2022, lo que nos habla acerca de la fuerte incidencia de esta tecnología.
¿Qué estuvo ocurriendo en la Argentina con la industria de la telefonía móvil y el nivel de penetración de los teléfonos inteligentes (smartphones)?
Para el año 2012, Argentina era considerada como “líder en smartphones”, y dentro de los sistemas operativos abiertos, el líder en el mercado argentino era Android, seguido por Symbian y RIM.
En ese mismo orden, un informe de Counterpoint Research reveló que las ventas de teléfonos inteligentes en América latina aumentaron un 22,2 por ciento en comparación interanual durante el primer trimestre (2021), y entre los países principales, la Argentina mostró el mayor crecimiento interanual, con un 113 por ciento, seguida por Perú, con un 51 por ciento.
Actualmente, de acuerdo con los resultados provisionales del Censo Nacional de Población, Hogares y Viviendas 2022, las viviendas particulares ocupadas en las que los hogares tienen celular con internet llegan al 89,7 % (PDF).
Hidra de mil cabezas
Un informe de ThreatFabric (2019) brindó algunos detalles de la evolución del troyano bancario para Android denominado Anubis (aka: BankBot, android.bankbot, android.bankspy), además de describir su relación con actor con el sobrenombre de “maza-in”
Dicho actor escribió un artículo titulado “Android BOT from scratch” (2016) en el que compartió el código fuente de un nuevo troyano bancario para Android capaz de enviar e interceptar mensajes de texto, así como realizar ataques de superposición para robar credenciales (origen de Bankbot).
Gracias a este “aporte”, durante 2017 muchos otros actores utilizaron Bankbot para sus operaciones fraudulentas, y algunos utilizaron el código fuente para crear su propio malware. Algunos ejemplos son:
| Malware | Año | Descripción |
| LokiBot | 2017 | El actor detrás de este malware adaptó el código original e introdujo las capacidades de ransomware y proxy. |
| Razdel | 2017 | Un malware bancario dirigido principalmente a los bancos de Europa Central, introdujo un truco novedoso para implementar ataques de superposición. |
| MysteryBot | 2018 | Del mismo actor que estuvo detrás de «LokiBot», introdujo un novedoso enfoque de registro de teclas y una técnica de fraude en el dispositivo. |
| CometBot | 2019 | Una copia del código original con modificaciones menores, dirigida principalmente a los bancos alemanes. |
El relato anterior sirve para comenzar a entender el impacto que pueden tener las actividades de colaboración entre los actores maliciosos en un contexto más amplio (Crime-as-a-service). Por supuesto, de ningún modo se agotan las familias de malware que existen y están dirigidos al sistema operativo Android, pues se pueden mencionar, por ejemplo:
Varios de los anteriores también explotan o tienen funcionalidades que se aprovechan de los problemas de seguridad que presenta el “permiso de accesibilidad”
Si bien con Android 13 “Google impuso algunas limitaciones”, pues el sistema ahora detecta si una app se ha instalado desde una tienda de apps o desde fuera de ella (Si se ha instalado desde fuera, se bloqueará la opción de darle permiso de accesibilidad), no es menos cierto que el malware continúa infiltrándose en la tienda de Google Play.
Finalmente, con la reciente presentación de Android 14, se abre una nueva etapa en esta materia (prueba y error), pues la nueva versión promete nuevas características centradas en la seguridad, personalización y la incorporación de inteligencia artificial a algunas funciones.
Ciberprisma - alianza por la ciberseguridad 