Um trojan bancário Android chamado Zanubis está disfarçado como um aplicativo do governo peruano para enganar usuários desavisados ??para que instalem o malware. Mais uma tática dos cibercriminosos para fazerem suas vítimas.
Trojan Zanubis se disfarça como aplicativo do governo peruano
De acordo com a Kaspersky, o principal caminho de infecção do Zanubis é através da representação de aplicativos Android peruanos legítimos e, em seguida, enganar o usuário para que habilite as permissões de acessibilidade para assumir o controle total do dispositivo.
O Trojan Zanubis, originalmente documentado em agosto de 2022, é a mais recente adição a uma longa lista de malware bancário Android direcionado à região da América Latina (LATAM). As metas incluem mais de 40 bancos e entidades financeiras no Peru.
Esse malware é conhecido principalmente por abusar das permissões de acessibilidade no dispositivo infectado para exibir telas falsas sobrepostas sobre os aplicativos visados, na tentativa de roubar credenciais. Ele também é capaz de coletar dados de contato, lista de aplicativos instalados e metadados do sistema.
A Kaspersky disse ter observado amostras recentes de Zanubis na natureza em abril de 2023, operando sob o disfarce da agência alfandegária e fiscal peruana chamada Superintendência Nacional de Tributação e Administração Tributária (SUNAT).
Notícias Relacionadas
A instalação do aplicativo malicioso
Instalar o aplicativo e conceder-lhe permissões de acessibilidade permite que ele seja executado em segundo plano e carregue o site SUNAT genuíno usando o WebView do Android para criar uma aparência legítima. Além disso, ele mantém conexões com um servidor controlado por ator para receber comandos do próximo estágio por meio de WebSockets.
As permissões são ainda aproveitadas para manter o controle sobre os aplicativos que estão sendo abertos no dispositivo e compará-los com uma lista de aplicativos direcionados. Assim, caso um aplicativo da lista seja iniciado, Zanubis registra as teclas digitadas ou grava a tela para desviar dados confidenciais.
O que diferencia o Zanubis e o torna mais potente é a sua capacidade de fingir ser uma atualização do sistema operacional Android, inutilizando efetivamente o dispositivo. “À medida que a ‘atualização’ é executada, o telefone permanece inutilizável a ponto de não poder ser bloqueado ou desbloqueado, pois o malware monitora essas tentativas e as bloqueia”, observou Kaspersky.
O desenvolvimento ocorre no momento em que o AT&T Alien Labs detalha outro trojan de acesso remoto (RAT) baseado em Android, chamado MMRa , que é capaz de capturar a entrada do usuário e o conteúdo da tela, bem como comando e controle.
