{"id":15336,"date":"2025-06-06T12:32:38","date_gmt":"2025-06-06T17:32:38","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=15336"},"modified":"2025-06-06T12:33:10","modified_gmt":"2025-06-06T17:33:10","slug":"la-mano-fantasma-zanubis-ha-evolucionado-alerta-kaspersky","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/la-mano-fantasma-zanubis-ha-evolucionado-alerta-kaspersky\/","title":{"rendered":"La “mano fantasma” Zanubis ha evolucionado, alerta Kaspersky"},"content":{"rendered":"\n

La amenaza est\u00e1 en el top10 troyanos m\u00e1s activos en Per\u00fa y tiene como blanco de ataque 16 instituciones bancarias. Se trata de una de las amenazas m\u00e1s sofisticadas en Am\u00e9rica Latina<\/em><\/p>\n\n\n\n

Mayo de 2025<\/em><\/p>\n\n\n\n

Zanubis es un troyano bancario sofisticado que r\u00e1pidamente se posicion\u00f3 entre las amenazas m\u00e1s activas en la regi\u00f3n y principalmente en Per\u00fa. A lo largo del tiempo, ha evolucionado en sus t\u00e9cnicas y capacidades, incorporando nuevos m\u00e9todos de distribuci\u00f3n para alcanzar m\u00e1s v\u00edctimas, mejoras operativas orientadas a maximizar ganancias y mecanismos avanzados para evadir productos de seguridad. En 2025, detectamos una nueva campa\u00f1a asociada a esta amenaza. Consulta las recomendaciones de nuestros expertos para entender mejor esta amenaza y protegerte.<\/strong><\/p>\n\n\n\n

Desde 2020, las estafas financieras se han concentrado en los troyanos de acceso remoto (RATs), tambi\u00e9n conocidos como ataques de ‘mano fantasma’. Este tipo de malware permite a los ciberdelincuentes controlar el dispositivo de la v\u00edctima y realizar fraudes bancarios, eludiendo as\u00ed las defensas de la banca m\u00f3vil. Este modelo de cibercrimen estuvo dominado por los troyanos brasile\u00f1os, como Ghimob que era el m\u00e1s activo en Per\u00fa – hasta la aparici\u00f3n de Zanubis en 2022. Desde su aparici\u00f3n, esta amenaza ha evolucionado constantemente, convirti\u00e9ndose en una de las estafas m\u00e1s sofisticadas en la regi\u00f3n.<\/p>\n\n\n\n

El vector de infecci\u00f3n de este troyano se apoya fuertemente en la ingenier\u00eda social. A trav\u00e9s de campa\u00f1as de phishing, los atacantes enga\u00f1an a las v\u00edctimas para que descarguen aplicaciones maliciosas que imitan a entidades leg\u00edtimas. Si bien el m\u00e9todo principal \u2014la instalaci\u00f3n de apps fuera de tiendas oficiales\u2014 se mantiene, ha sido adaptado con el tiempo. En sus primeras variantes, Zanubis se presentaba como aplicaciones que suplantaban a la SUNAT(Superintendencia Nacional de Aduanas y de Administraci\u00f3n Tributaria). Desde inicios de 2025, los expertos de Kasperky han identificado una nueva campa\u00f1a que distribuye dos aplicaciones falsas: una suplantando a una empresa de energ\u00eda, y otra, a una instituci\u00f3n financiera. Esta expansi\u00f3n en los canales de distribuci\u00f3n refleja un enfoque claro del grupo: aumentar su alcance y maximizar los beneficios obtenidos mediante el fraude.<\/p>\n\n\n\n

Al momento que el usuario descarga la app falsa, el malware verifica si es la primera vez que se ejecuta en el dispositivo y solicita habilitar los permisos de Accesibilidad del tel\u00e9fono. Esta etapa es esencial, pues sin estos permisos, Zanubis no podr\u00eda llevar a cabo el fraude sobre las apps bancarias. Es importante se\u00f1alar que esta funci\u00f3n est\u00e1 presente en todos los dispositivos Android, pues su objetivo es ayudar a personas con alguna discapacidad a configurar el tel\u00e9fono con tecnolog\u00edas de asistencia.<\/p>\n\n\n\n

El malware opera como un troyano bancario basado en superposici\u00f3n. Aprovechando los permisos de accesibilidad, Zanubis puede ejecutarse en segundo plano sin llamar la atenci\u00f3n, atento a qu\u00e9 aplicaciones se encuentran activas en el dispositivo. Cuando detecta que se ha abierto una aplicaci\u00f3n incluida dentro de sus objetivos, superpone una imagen generada de antemano que se encuentra dise\u00f1ada para imitar la interfaz leg\u00edtima. Esta superposici\u00f3n captura las credenciales del usuario a medida que se ingresa, robando la informaci\u00f3n confidencial sin levantar sospechas para la ejecuci\u00f3n posterior de transacciones.<\/p>\n\n\n\n

Con el tiempo, los delincuentes responsables del malware buscaron diversificar sus operaciones. En la versi\u00f3n identificada por los especialistas de Kaspersky en 2024, se detectaron 14 organizaciones adicionales en el c\u00f3digo fuente respecto a la versi\u00f3n del a\u00f1o anterior. Este aumento reflejaba la intenci\u00f3n del grupo de expandir su alcance hacia proveedores de tarjetas virtuales, as\u00ed como billeteras digitales y de criptomonedas.<\/p>\n\n\n\n

No obstante, en la versi\u00f3n m\u00e1s reciente del malware, detectada en 2025, se observ\u00f3 un cambio significativo: los objetivos se redujeron a solo 16 instituciones bancarias, muy por debajo de la lista inicial que inclu\u00eda 40 compa\u00f1\u00edas. Seg\u00fan la interpretaci\u00f3n preliminar de los expertos de Kaspersky, este ajuste responde a una estrategia orientada a mejorar la eficiencia operativa y maximizar las ganancias.<\/p>\n\n\n\n

El mayor enfoque de ataques se ve reflejado en las detecciones de Zanubis por parte de Kaspersky en los \u00faltimos a\u00f1os. Considerando los primeros cinco meses de cada a\u00f1o, la compa\u00f1\u00eda bloque\u00f3 156 intentos en 2023, 565 en 2024 y 372 este a\u00f1o, respectivamente. La actividad del grupo en 2025 es un 34% menor respecto al a\u00f1o anterior \u2013 ca\u00edda responsable de la reducci\u00f3n del n\u00famero de blancos de ataques \u2013 pero sigue siendo un 138% superior a la de 2023, datos que refuerzan la interpretaci\u00f3n de la maximizaci\u00f3n de ganancias.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

La investigaci\u00f3n de Kaspersky tambi\u00e9n mostr\u00f3 que las funcionalidades del troyano han mejorado en los \u00faltimos 2 a\u00f1os. Entre las mejoras m\u00e1s importantes se destacan la adopci\u00f3n del robo de SMS y del robo de credenciales del celular (desbloqueo de pantalla) para poder eludir la autenticaci\u00f3n en dos pasos o confirmar operaciones bancarias. Otra evoluci\u00f3n se dio en las t\u00e9cnicas de ofuscaci\u00f3n y cifrado en el c\u00f3digo fuente, lo que dificulta el an\u00e1lisis y la detecci\u00f3n de la amenaza por soluciones de seguridad y demuestra c\u00f3mo Zanubis se est\u00e1 volviendo cada vez m\u00e1s sofisticado.<\/p>\n\n\n\n

\u201cEsta sofisticaci\u00f3n que presenta Zanubis es un reto para las empresas y una se\u00f1al de alerta para los usuarios quienes deben estar informados y usar soluciones de seguridad eficientes. Actualmente este malware que ataca al sistema financiero peruano est\u00e1 en el top10 troyanos m\u00f3viles bloqueados en Per\u00fa por las tecnolog\u00edas de Kaspersky. Adem\u00e1s, son sus nuevas caracter\u00edsticas las que evidencian una evoluci\u00f3n significativa ya que sus objetivos son m\u00e1s precisos y han tomado medidas para que su detecci\u00f3n y an\u00e1lisis sea complejo\u201d<\/em> indic\u00f3 <\/em>Leandro Cuozzo, analista de seguridad de Kaspersky para Am\u00e9rica Latina.<\/p>\n\n\n\n

Kaspersky comparte algunas recomendaciones para reducir el riesgo de infecci\u00f3n:<\/p>\n\n\n\n