Обнаружена новая версия Android-банкера Zanubis. Троян способен похищать учетные данные от финансовых сервисов, а также данные криптокошельков. Также он обладает функциональностью кейлоггера и делает снимки экрана.
Как сообщают аналитики «Лаборатории Касперского», Zanubis имитирует приложения настоящего перуанского банка и энергетической компании, а распространяется под видом выставленных пользователю счетов и инструкции от «банковского консультанта».
Zanubis известен экспертам с 2022 года, и обычно он атакует пользователей финансовых организаций и криптовалютных бирж в Перу. Тогда сообщалось, что троян обманом получает разрешение на доступ к Accessibility Services (службе специальных возможностей) с целью получения полного контроля над устройством.
На заре активности банкер маскировался под финансовые и криптовалютные сервисы на Android, но в 2023 году появилась имитация официального приложения перуанского Национального управления таможенной и налоговой администрации (SUNAT), и Zanubis стал более продвинутым.
В своем новом отчете исследователи отмечают, что хотя Zanubis активен в Перу, приманки с фальшивым инструментом для проверки неоплаченных счетов могут применяться и в других регионах.
Потенциальных жертв убеждают скачать Zanubis с помощью социальной инженерии. В случае, когда атакующие притворяются энергетической компанией, они присылают пользователям APK-файлы с названиями, в которых фигурируют слова Boleta («счет») либо Factura («счет-фактура»). Они имитируют приложение для проверки неоплаченных документов.
В сценарии, когда атакующие имитируют общение жертвы с банком, они направляют пользователю зараженный установочный файл, который позиционируется как инструкция от «банковского консультанта».
Как только пользователь загружает и запускает на смартфоне вредоносное приложение, на экране появляется логотип энергетической компании или банка, а также уведомление о некой проверке. Приложение запрашивает доступ к Accessibility Services, поскольку это якобы необходимо для корректной работы.
Однако на самом деле через специальные возможности Android малварь ворует конфиденциальные данные, так как Zanubis получает доступ к информации, отображаемой на экране и в уведомлениях.
«В коде Zanubis используется латиноамериканский испанский, атакующие хорошо осведомлены о локальных финансовых организациях, поэтому мы можем предположить, что злоумышленники, скорее всего, из Латинской Америки и их цель — данные пользователей из того же региона. Несмотря на это, следить за подобными вредоносными кампаниями крайне важно специалистам по всему миру, чтобы совершенствовать инструменты защиты, ведь злоумышленники могут перенимать техники и легенды друг у друга и использовать их в других регионах», — предупреждает Дмитрий Галов, руководитель Kaspersky GReAT в России.
