Um trojan bancário Android emergente chamado Zanubis agora está disfarçado como um aplicativo do governo peruano para enganar usuários desavisados para que instalem o malware.
“O principal caminho de infecção do Zanubis é através da representação de aplicativos Android peruanos legítimos e, em seguida, enganar o usuário para que habilite as permissões de acessibilidade para assumir o controle total do dispositivo”, disse Kaspersky em uma análise publicada na semana passada.
Zanubis, originalmente documentado em agosto de 2022, é a mais recente adição a uma longa lista de malware bancário Android direcionado à região da América Latina (LATAM). As metas incluem mais de 40 bancos e entidades financeiras no Peru.
É conhecido principalmente por utiizar as permissões de acessibilidade no dispositivo infectado para exibir telas falsas sobrepostas sobre os aplicativos visados, na tentativa de roubar credenciais. também é capaz de coletar dados de contato, lista de aplicativos instalados e metadados do sistema.
A Kaspersky disse ter observado amostras recentes de Zanubis em abril de 2023, operando sob o disfarce da agência alfandegária e fiscal peruana chamada Superintendencia Nacional de Aduanas y de Administración Tributaria (SUNAT).
Instalar o aplicativo e conceder-lhe permissões de acessibilidade permite que ele seja executado em segundo plano e carregue o site SUNAT genuíno usando o WebView do Android para criar uma aparência de legitimidade. Ele mantém conexões com um servidor controlado por ator para receber comandos do próximo estágio por meio de WebSockets.
As permissões são ainda aproveitadas para manter o controle sobre os aplicativos que estão sendo abertos no dispositivo e compará-los com uma lista de aplicativos direcionados. Caso um aplicativo da lista seja iniciado, Zanubis registra as teclas digitadas ou grava a tela para desviar dados confidenciais.
O que diferencia o Zanubis e o torna mais perigoso é a sua capacidade de fingir ser uma atualização do sistema operacional Android, inutilizando efetivamente o dispositivo.
“À medida que a ‘atualização’ é executada, o telefone permanece inutilizável a ponto de não poder ser bloqueado ou desbloqueado, pois o malware monitora essas tentativas e as bloqueia”, observou a Kaspersky.
O desenvolvimento ocorre no momento em que a AT&T Cybersecurity detalha outro trojan de acesso remoto (RAT) baseado em Android, chamado MMRat, que é capaz de capturar a entrada do usuário e o conteúdo da tela, bem como comando e controle.
“RATs são uma escolha popular para hackers devido às suas muitas capacidades, desde reconhecimento e roubo de dados até persistência de longo prazo”, disse a empresa.
Comments