{"id":12994,"date":"2023-11-09T10:23:35","date_gmt":"2023-11-09T15:23:35","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=12994"},"modified":"2023-11-09T10:23:40","modified_gmt":"2023-11-09T15:23:40","slug":"version-peruana-del-ataque-de-la-mano-fantasma-acecha-a-usuarios-de-la-banca-movil-advierte-kaspersky","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/version-peruana-del-ataque-de-la-mano-fantasma-acecha-a-usuarios-de-la-banca-movil-advierte-kaspersky\/","title":{"rendered":"Versi\u00f3n peruana del ataque de la \u201cmano fantasma\u201d acecha a usuarios de la banca m\u00f3vil, advierte Kaspersky"},"content":{"rendered":"\n

Zanubis, troyano bancario para Android, tiene en la mira a cerca de 40 aplicaciones de bancos y otras entidades financieras en el Per\u00fa. Seg\u00fan datos de la empresa, es la amenaza financiera m\u00e1s detectada en ese pa\u00eds.<\/p>\n\n\n\n

Desde hace varios a\u00f1os, los especialistas de Kaspersky vienen informando sobre c\u00f3mo los troyanos de acceso remoto (RATs) realizan ataques tipo ‘mano fantasma’ que le permiten a los ciberdelincuentes realizar fraudes bancarios utilizando el dispositivo de la v\u00edctima para burlar las defensas en la banca m\u00f3vil. Este modelo de cibercrimen estuvo dominado por los troyanos brasile\u00f1os<\/a> (siendo Ghimob el m\u00e1s activo en Per\u00fa) hasta la aparici\u00f3n de Zanubis el a\u00f1o pasado. Con varios indicadores que sugieren que es de origen peruano, este malware ya lidera el ranking de intentos de ataque y representa casi el 50% de los bloqueos realizados por Kaspersky en ese pa\u00eds en lo que va del a\u00f1o.<\/p>\n\n\n\n

Esta nueva amenaza financiera llam\u00f3 la atenci\u00f3n de los expertos de Kaspersky por su complejidad. Seg\u00fan el an\u00e1lisis de la empresa, aunque el nivel t\u00e9cnico de Zanubis est\u00e1 a la par de los infames troyanos brasile\u00f1os y emplea la misma t\u00e1ctica, sus objetivos se limitan a las apps de bancos e instituciones financieras que operan en el Per\u00fa con el fin de robar las credenciales de acceso a estas y secuestrar los mensajes SMS enviados a la v\u00edctima por las instituciones bancarias.<\/p>\n\n\n\n

El principal modo de infecci\u00f3n de Zanubis ocurre cuando el usuario baja una aplicaci\u00f3n maliciosa fuera de la tienda oficial. El troyano intenta hacerse pasar por las aplicaciones Android de la organizaci\u00f3n gubernamental peruana SUNAT* (Superintendencia Nacional de Aduanas y de Administraci\u00f3n Tributaria) para enga\u00f1ar la v\u00edctima. En otras palabras, la amenaza utiliza el nombre y el icono de la app gubernamental leg\u00edtima de manera ilegal.<\/p>\n\n\n\n

Al momento que el usuario descarga la app falsa, el malware revisa si es la primera vez que se ejecuta en el dispositivo y si cuenta con permisos al Men\u00fa de Accesibilidad del tel\u00e9fono. De lo contrario, Zanubis es capaz de mostrar mensajes con alertas de \u201ces necesario actualizar la app\u201d para lograrlo. Es importante se\u00f1alar que esta funci\u00f3n est\u00e1 presente en todos los dispositivos Android, pues su objetivo es ayudar a personas con alguna discapacidad configurar el tel\u00e9fono con tecnolog\u00edas de asistencia. Sin embargo, los ciberdelincuentes explotan esta herramienta leg\u00edtima para manipular las aplicaciones en el equipo infectado con comandos remotos. Sin este acceso, Zanubis no podr\u00eda llevar a cabo el fraude en las apps bancarias.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Otra acci\u00f3n que el malware realiza es solicitar ser la aplicaci\u00f3n predeterminada para la validaci\u00f3n de mensajes SMS. Esta configuraci\u00f3n le permite robar los c\u00f3digos de activaci\u00f3n o verificaci\u00f3n que las instituciones financieras env\u00edan a la v\u00edctima v\u00eda mensajes de texto. Es importante mencionar que cuando la amenaza intercepta uno de estos mensajes, el malware lo elimina para borrar evidencia del fraude.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Una vez operativo (con ejecuci\u00f3n en segundo plano y permiso para operar otras apps), Zanubis muestra una p\u00e1gina web leg\u00edtima de SUNAT donde los clientes pueden buscar deudas. Esta fase es notable ya que sirve para evitar que el usuario sospeche que ha sido v\u00edctima de un ataque.<\/p>\n\n\n\n

La estafa<\/strong> empieza cuando el troyano identifica que la v\u00edctima utiliza aplicaciones espec\u00edficas \u2013 la lista est\u00e1 compuesta por 38 apps de instituciones financieras que operan en Per\u00fa, as\u00ed como las apps de Gmail y WhatsApp; estas \u00faltimas para robar o monitorear la informaci\u00f3n de sus v\u00edctimas. En esta etapa, Zanubis registra todos los textos digitados en el equipo y graba la pantalla con el fin de robar las credenciales de ingreso a las apps.<\/p>\n\n\n\n

Seg\u00fan los expertos, el robo de dinero a trav\u00e9s de las apps financieras o de la banca m\u00f3vil se realiza cuando la v\u00edctima del dispositivo infectado no lo est\u00e9 utilizando, o no pueda hacerlo, ya que Zanubis puede bloquear el uso del tel\u00e9fono mediante actualizaciones falsas de Android. La excepci\u00f3n es cuando el due\u00f1o del dispositivo infectado haya configurado la verificaci\u00f3n biom\u00e9trica para ingresar a sus cuentas. En este caso, el fraude se produce durante el segundo acceso a la aplicaci\u00f3n bancaria para que el programa malicioso pueda forzar la verificaci\u00f3n facial o mediante la huella digital. En ambos casos, Zanubis podr\u00eda obscurecer la pantalla del tel\u00e9fono infectado para imitar el bloqueo del tel\u00e9fono y enga\u00f1ar a la v\u00edctima para que use el desbloqueo biom\u00e9trico.<\/p>\n\n\n\n

Aunque no se puede hacer una atribuci\u00f3n definitiva con la informaci\u00f3n actualmente disponible, existen varios indicadores que sugieren que Zanubis es de origen peruano. En primer lugar, el idioma utilizado por los desarrolladores es el espa\u00f1ol con un gran conocimiento de la jerga y frases comunes. Adem\u00e1s, muestra gran afinidad por los bancos y entidades financieras peruanas, siendo estas apps su \u00fanico objetivo por el momento. Otra se\u00f1al inesperada es que mientras los expertos de Kaspersky realizaban el an\u00e1lisis de este malware, notaron varios env\u00edos a la plataforma del VirusTotal. Seg\u00fan la telemetr\u00eda, todas esas nuevas muestras enviadas aparec\u00edan provenir de un remitente en Per\u00fa.<\/p>\n\n\n\n

\u201cDesde el punto de vista t\u00e9cnico, este troyano peruano es tan avanzado como las amenazas creadas en Brasil, las cuales han dominado los ataques de fraude bancario en Am\u00e9rica Latina. Sin embargo, Zanubis se beneficia de su conocimiento del sistema financiero peruano. Adem\u00e1s de la lista de aplicaciones a las que el malware apunta para cometer fraudes, la amenaza ya representa el 45% de los troyanos bancarios bloqueados en Per\u00fa por las tecnolog\u00edas de Kaspersky. En comparaci\u00f3n, los troyanos brasile\u00f1os representan alrededor del 25% de los intentos de infecci\u00f3n que bloqueamos en el pa\u00eds. Aunque por el momento sus actividades est\u00e1n centradas en el Per\u00fa, la posibilidad de que se expanda o surja una amenaza similar en los pa\u00edses vecinos es alta. Por eso, es importante que tanto los usuarios como las entidades financieras de la regi\u00f3n est\u00e9n informados sobre c\u00f3mo funciona\u201d,<\/em> explica Fabio Assolini, director del Equipo de Investigaci\u00f3n y An\u00e1lisis para Am\u00e9rica Latina en Kaspersky.<\/strong><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Para reducir el riesgo de infecci\u00f3n, los usuarios deben:<\/strong><\/p>\n\n\n\n