Fuera de Brasil, es el troyano más avanzado de Latinoamérica. En Perú se ha vuelto el ataque a teléfonos móviles más frecuente, explican desde Kaspersky
Brasil ha sido durante años el principal exportador de ataques maliciosos en América Latina. De ahí surge el malware más avanzado que toma el control de la región. Las mayores amenazas al Perú también tienden a provenir de los países vecinos. Sin embargo, esto ha cambiado recientemente. Un nuevo troyano bancario desarrollado localmente se ha convertido en la mayor amenaza entre los troyanos bancarios móviles descubiertos por la firma de ciberseguridad Kaspersky en el país.
El malware, llamado Zanubis, apunta a teléfonos inteligentes principalmente con Android, la plataforma más utilizada con una tasa de adopción de entre el 80 y el 90 por ciento. El troyano se descubrió por primera vez en agosto de 2022, pero recientemente ha hecho sonar las alarmas a medida que aumentaron los ataques. Hoy, según la detección de troyanos de banca móvil de Kaspersky Perú, Zanubi encabeza la lista de amenazas bloqueadas.
¿Cómo infecta Zanubi a los dispositivos móviles y por qué es realmente peligroso?
Fabio Asolini, jefe del equipo global de investigación y análisis de Kaspersky Latinoamérica, dijo a El Comercio que si bien aún no se ha rastreado el vector de ataque inicial, es posible que se trate de un correo electrónico malicioso debido al comportamiento de los usuarios en nuestro país. WhatsApp, mensajes de texto o publicidad en redes sociales. Se sabe que los ciberdelincuentes utilizan el nombre de Sunat para ganarse la confianza de sus víctimas. "Usaron el nombre de Sunat para advertir sobre temas relacionados con impuestos, por lo que las víctimas tenían miedo de hacer clic en el enlace adjunto y descargar la aplicación maliciosa". En otras palabras, la amenaza utiliza ilegalmente el nombre y el ícono de una aplicación gubernamental legítima.
Aunque no está disponible en Play Store, la tienda oficial de aplicaciones de Android, mucha gente aún la descarga. El troyano engaña a los usuarios para que muestren el sitio web original de Sunat, pero en realidad instala un montón de malware extremadamente peligroso en segundo plano.
Cuando un usuario descarga una aplicación falsa, el malware comprueba si se ejecuta en el dispositivo por primera vez y si tiene acceso al menú de accesibilidad del teléfono. De lo contrario, Zanubis puede lograrlo mostrando un mensaje de advertencia "La aplicación necesita ser actualizada". Las funciones de accesibilidad están disponibles en todos los dispositivos Android porque tienen como objetivo ayudar a las personas con discapacidades a configurar sus teléfonos utilizando tecnología de asistencia. Sin embargo, los ciberdelincuentes utilizan esta herramienta legítima para manipular aplicaciones en computadoras infectadas mediante comandos remotos. Sin este acceso, el troyano podría cometer fraudes en aplicaciones bancarias.
Otra cosa que hace el malware es afirmar ser la aplicación de autenticación de SMS predeterminada. Esta configuración le permite robar códigos de activación o verificación enviados por instituciones financieras a las víctimas a través de SMS. De esa manera, cada vez que una amenaza intercepta uno de los mensajes de texto, el malware lo elimina para evitar evidencia de fraude.
Una vez iniciado (ejecutándose en segundo plano con permiso para ejecutar otras aplicaciones), Zanubis muestra un sitio web legítimo de Sunat donde los clientes pueden buscar deudas. Esta fase es importante porque evita que el usuario sospeche que es víctima de un ataque.
¿Cómo se determina que los Zanubis son de origen peruano?
Hay dos líneas principales de evidencia que sugieren que el caballo de Troya se desarrolló en el país. "Por la evidencia que tenemos sabemos que son 100% hechos en Perú, porque si fueran brasileños, en algún momento hubiéramos encontrado 'portunola', pero en realidad la letra fue escrita por un señor que conoce la jerga y expresiones comunes de la gente local en frases escritas", asegura Asolini. La segunda razón está relacionada con la comprensión del sistema financiero del país. "Se sabe que el troyano tiene 38 aplicaciones móviles nacionales, incluidos los principales bancos del Perú, así como instituciones financieras más pequeñas e incluso billeteras virtuales como Yape o Plin", agregó el experto.
