Un trojan bancario emerso di recente per Android chiamato Zanubis che ha il “comportamento” di “camuffarsi” come un’applicazione del governo peruviano per ingannare gli utenti ignari nell’installare il malware.
Cosa sappiano di Zanubis secondo gli esperti
“La principale via di infezione di Zanubis avviene attraverso l’imitazione [cioè spacciarsi per le medesime app con grafica simile] di legittime applicazioni Android peruviane e quindi ingannando l’utente per abilitare le autorizzazioni di accessibilità al fine di prendere il pieno controllo del dispositivo“, ha dichiarato Kaspersky in un’analisi pubblicata la scorsa settimana.
Zanubis, inizialmente documentato nell’agosto dell’anno 2022, è l’ultima aggiunta a una lunga lista di malware bancari per Android che prendono di mira la parte meridionale del continente americano; tra i bersagli figurano più di 40 banche e varie entità finanziarie in Perù.
È principalmente noto per abusare delle autorizzazioni di accessibilità sul dispositivo infetto per visualizzare schermate di sovrapposizione fittizie sopra le app mirate nel tentativo di rubare le credenziali. È in grado anche di raccogliere dati dei contatti, elenchi di app installate e metadati di sistema.
Kaspersky ha affermato di aver visto campioni recenti di Zanubis in circolazione nell’aprile 2023, che operano sotto mentite spoglie dell’agenzia doganale e tributaria peruviana chiamata Superintendencia Nacional de Aduanas y de Administración Tributaria (SUNAT).
L’installazione dell’app e l’assegnazione delle autorizzazioni di accessibilità consentono di eseguirla in background e caricare il sito web genuino di SUNAT utilizzando WebView di Android per creare una patina di legittimità. Mantiene connessioni a un server controllato da attori per ricevere comandi di prossimo passo tramite WebSockets.
Le autorizzazioni vengono ulteriormente sfruttate per tenere d’occhio le app aperte sul dispositivo e confrontarle con un elenco di app mirate. Se viene avviata un’applicazione presente nell’elenco, Zanubis procede a registrare le battiture di tastiera o a registrare lo schermo per sottrarre dati sensibili.
Un RAT diverso dagli altri
Ciò che distingue Zanubis e lo rende più potente è la sua capacità di fingere di essere un aggiornamento del sistema operativo Android, rendendo efficacemente il dispositivo inutilizzabile.
“Mentre l’aggiornamento viene [virtualmente] “eseguito”, il telefono rimane inutilizzabile fino al punto in cui non può essere bloccato o sbloccato, poiché il malware monitora quei tentativi [di bloccare o sbloccare il telefono] e li blocca“, ha reso noto Kaspersky.
Lo sviluppo arriva mentre AT&T Cybersecurity ha dettagliato un altro trojan di accesso remoto (RAT) basato su Android chiamato MMRat, che è in grado di catturare l’input dell’utente e il contenuto dello schermo, oltre a comandi e controllo.
“I RAT sono una scelta popolare per gli hacker a causa delle loro molte capacità, dalla ricognizione e dall’estrazione dei dati alla persistenza a lungo termine“, ha dichiarato l’azienda di sicurezza informatica Kaspersky.
Conclusione
Riassumendo, Zanubis è un pericoloso trojan bancario per Android che si sta diffondendo attraverso l’inganno e l’uso di app peruviane legittime come esca per gli utenti.
Questo malware mira principalmente alle istituzioni finanziarie in Perù, cercando di rubare dati sensibili e informazioni bancarie dalle vittime; la sua capacità di fingere di essere un aggiornamento del sistema operativo Android lo rende particolarmente insidioso, poiché può rendere i dispositivi praticamente inutilizzabili.
Sebbene sarà molto difficile che questa minaccia informatica arrivi in Italia, scegli sempre con attenzione le fonti di download ed evita di scaricare app da fonti non attendibili o siti web sospetti; cerca di utilizzare fonti negozi ufficiali come il Google Play Store per scaricare le applicazioni, il meno possibile store o fonti di terze parti a meno che non siano fonti garantite (come F-Droid ad esempio).
