Un emergente trojan bancario per Android chiamato Zanubis sta ora mascherandosi come un’app del governo peruviano per ingannare gli utenti incauti e indurli ad installare il malware. Zanubis, documentato originariamente nell’agosto 2022, è l’ultima aggiunta a una lunga lista di malware bancari per Android che prendono di mira la regione dell’America Latina, con obiettivi che includono oltre 40 banche e entità finanziarie in Perù.
È principalmente noto per abusare dei permessi di accessibilità sul dispositivo infetto per visualizzare finti schermi sovrapposti sulle app di destinazione nel tentativo di rubare le credenziali. È anche in grado di raccogliere dati di contatto, elenco di app installate e metadati del sistema. Kaspersky ha osservato recenti campioni di Zanubis in natura nell’aprile 2023, operando sotto le spoglie dell’agenzia doganale e fiscale peruviana denominata Superintendencia Nacional de Aduanas y de Administración Tributaria (SUNAT).
Installare l’app e concederle i permessi di accessibilità permette al malware di funzionare in background e caricare il sito web genuino della SUNAT usando WebView di Android per creare un’apparenza di legittimità. Mantiene connessioni con un server controllato dall’attore per ricevere comandi di prossima fase tramite WebSockets. I permessi sono ulteriormente sfruttati per tenere d’occhio le app aperte sul dispositivo e confrontarle con un elenco di app di destinazione.
Ciò che distingue Zanubis e lo rende più potente è la sua capacità di fingere di essere un aggiornamento del sistema operativo Android, rendendo di fatto il dispositivo inutilizzabile. “Mentre l’aggiornamento è in esecuzione, il telefono rimane inutilizzabile al punto che non può essere bloccato o sbloccato, poiché il malware monitora quei tentativi e li blocca”, ha notato Kaspersky.