Hackers peruanos crean Zanubis, un troyano que infecta tu celular y puede robar tus ahorros

Los troyanos de acceso remoto (RATs) existen desde hace varios años y la mayoría de ellos, como Ghimob, han sido desarrollados por hackers brasileños. Sin embargo, en los últimos meses, ha aparecido un malware similar que es el doble de peligroso y ha sido diseñado por cibercriminales de Perú. Su nombre es Zanubis y tiene la capacidad de robar el dinero que hayas ahorrado en los bancos, sin que te des cuenta. ¿Cómo funciona? Aquí lo conocerás.

Un estudio realizado por la agencia de ciberseguridad Kaspersky reveló que los creadores de Zanubis tienen la capacidad de acceder a 38 apps de bancos e instituciones financieras que operan en el Perú. Para conocer más sobre este peligroso malware, La República se comunicó con Fabio Assolini, director del Equipo de Investigación y Análisis para América Latina en Kaspersky, quien nos brindó algunas recomendaciones para que no haya más víctimas.

PUEDES VER: ¿Qué pasa si conectas una memoria USB al cargador del celular y lo enchufas a la corriente?

¿Cómo funciona este software malicioso?

Es un poco difícil clasificar el Zanubis porque tiene un poco de todo. Posee funciones de backdoor, de RAT y de troyano. Nosotros lo nombramos como troyano bancario. Cuando se enmascara y simula ser una aplicación de Sunat, lo clasificamos como troyano; cuando da acceso a un criminal y permite ejecutar comandos remotos, lo clasificamos como un backdoor, y cuando roba datos y permite una completa manipulación, lo clasificamos como RAT. Técnicamente es una amenaza bastante completa y avanzada para las que encontramos en Perú.

¿Cómo llegaron a la conclusión de que Zanubis fue desarrollado en Perú?

Hubo muchas señales para nosotros. La primera es una señal técnica. Los otros troyanos bancarios que atacan en Perú han sido desarrollados fuera. Su número de entidades atacadas es bajo, como dos o tres. Casi siempre eligen la banca que tiene más clientes, las más grandes. Pero el Zanubis no. El Zanubis ataca 38 instituciones financieras peruanas.

No solo la banca más grande o la banca de presencia internacional, también las cajas más chiquitas, más regionales, con pocos clientes. Sería muy raro para un criminal del exterior decidir hacerlo, ya que no tiene cómo hacer el 'cash out', o sea, retirar el dinero y completar el robo de la plata de la víctima.

La otra señal está en el código, todos los escritos fueron hechos por un hispanohablante nativo. La última señal es que, mientras analizábamos esta campaña, encontramos muchas muestras del Zanubis enviadas a Virus Total y todos eran hechos desde IPs peruanos. Entonces, por todas estas razones, nosotros concluimos que sí, esto fue desarrollado por un criminal que vive y que conoce bien el sistema financiero peruano.

¿Uno o varios?

Esto no hay cómo saber. Puede ser un 'lone wolf, alguien solito haciendo todo, pero sería un grupo. Es difícil imaginar que alguien haga todo solo, sobre todo hacer el 'cash out', es decir, ir a un cajero y sacar la plata. Es poco probable. Tal vez el desarrollador sí sea una persona, pero para operacionalizar el robo completo es muy difícil que sea uno, es probable que sea un grupo.

PUEDES VER: Wiltech intenta ponerle memoria de 1 TB a iPhone 15 Pro Max de 256 GB y se lleva gran sorpresa

¿A qué dispositivos afecta principalmente Zanubis y cómo se propala?

Solo smartphones Android. No hay versión para iPhone. Se propaga a través de ingeniería social. Uno puede recibir un correo, un SMS, un WhatsApp o cualquier otra forma de mensaje informando algo, algo que sea de interés. Por ejemplo, hay un problema en su tarjeta, en su cuenta bancaria, con su declaración de impuestos. Suele invitar a la gente a hacer clic y le ofrece descargar una aplicación. La gente lo instala y al hacerlo se infecta.

Es importante decir que en los análisis no encontramos esta aplicación maliciosa ubicada en la tienda oficial [Play Store]. Las apps que hallamos, todas estaban fuera de la tienda oficial. En nuestra experiencia, sabemos que no es difícil que un criminal suba su app maliciosa a la tienda oficial. Pero por una cuestión de facilidad, el criminal peruano no usó esta estrategia.

¿Es más complicado subir una aplicación maliciosa a Play Store?

Así es. Además, para enviarla a la tienda oficial, el criminal tendría que cambiar un poco la forma del funcionamiento para que la aplicación maliciosa se quede un tiempo más disponible. Por un lado, facilita la instalación, ya que las víctimas tienden a confiar más cuando está en la tienda oficial. Por otro lado, si Google la detecta y les remueve la cuenta, el criminal tiene que empezar todo de nuevo.

Tengo entendido que una app maliciosa se sube a Play Store libre de virus. Y con las actualizaciones es cuando recién añaden el malware.

Hay dos formas que los criminales burlan la tienda oficial. La primera es que envían una versión muy pequeña, con pocas funciones. Y luego piden bajar un segundo módulo, que es el malicioso. Pero muchas veces Google pide analizar ese segundo módulo. La otra forma más ingeniosa consiste en publicar la aplicación en modo beta. O sea, una versión de pruebas que no está finalizada. En este modo, Google no hace los chequeos de seguridad completos.

Una vez dentro del dispositivo, ¿qué hace Zanubis?, ¿cómo opera?

El Zanubis tiene dos módulos. El primero hace algunos chequeos, es decir, intenta saber si la víctima es interesante. Puede activar un keylogger que graba todo lo que se escribe, especialmente contraseñas, también desinstala otras apps que pueden ser un problema, como los antivirus. Incluso es capaz de capturar los SMS, tener acceso a los contactos y descargar archivos de internet.

Este chequeo inicial tiene como objetivo saber cuál aplicación de banco usa la víctima. Si tiene algunas de las 38, entonces el cibercriminal activará un segundo módulo, que es mucho más agresivo y que tiene mucha más capacidad de captura de datos. Tendrá control tota del celular, podrá abrir apps, hacer clics, hacer 'finger swipe', puede manipular las alertas y ponerlas en 'mute' para que la víctima no reciba notificaciones de su banco que informan sobre transferencias de montos grandes.

Estas técnicas no son nuevas. Nosotros la nombramos como el ataque de la mano fantasma. Porque hay alguien operando el teléfono remotamente, como si fuera una mano que yo no veo, pero que abre una aplicación, escribe algo. Asimismo, Zanubis tiene muchos trucos para ocultarse y que el criminal pueda controlar el teléfono remotamente.

Por ejemplo, pondrá un aviso de un update falso. Te informará que se están actualizando algunos componentes de pantalla y que mantengas tu equipo conectado a internet durante 30 minutos que dura la actualización. El otro truco es reducir el brillo de la pantalla a cero, ya que hay aplicaciones que para confirmar la transacción o incluso para abrirlas, piden la huella de la persona.

¿Qué hace el criminal? Baja el brillo de la pantalla para que la víctima piense que el teléfono está apagado. Entonces, mucha gente pone el dedo para desbloquearlo, pero en realidad estará aprobando la apertura de la aplicación, la confirmación de la transacción y otras cosas más. Entonces, estos dos trucos son necesarios para completar el robo.

PUEDES VER: ¿Cómo crear tus pósters de películas ficticias de Disney/Pixar que vuelto virales en TikTok?

¿A dónde va a parar el dinero robado?

En 10 minutos, el cibercriminal puede enviar este monto y distribuirlo para 50 o 60 cuentas distintas, haciéndolo irrastreable, ya que al llegar a la cuenta final, ahí compran criptomonedas. De todas las cuentas por donde pasó el dinero encontramos cuentas de mulas de lavado de dinero, cuentas abiertas de gente que ya murió o cuentas abiertas en nombre de una víctima a la que le robaron sus datos personales, es decir, la persona no tiene ni idea que están usando su nombre para delinquir.

¿Hay algún método para saber si un dispositivo está infectado? Y en el caso de que lo estuviera, ¿qué sería lo ideal?, ¿formatearlo?, ¿pasarle algún antivirus?

Dependerá de la inteligencia del criminal. Porque él puede hacerlo remotamente, tan bien que la víctima no se dará cuenta de que algo está pasando. Aunque el criminal puede meter la pata y la víctima darse cuenta. También dependerá de la víctima, ya que hay personas que creen que un bloqueo de pantalla es normal, pero otras que no. Pero el criminal o grupo criminal detrás del Zanubis hacen todo de la forma más silenciosa posible.

Ahora, ¿qué hacer si detecto que algo no anda bien? La primera opción es instalar un buen antivirus que intentará detectar esta amenaza y removerla. Y si aun así, la víctima continúa viendo señales raras, cosas extrañas en el teléfono, la mejor recomendación es formatearlo, o sea, volver a las configuraciones de fábrica.

¿Qué recomendaciones le puede brindar a los usuarios para evitar el Zanubis y otros troyanos bancarios?

En este momento, es muy importante que los usuarios no instalen aplicaciones que están fuera de Play Store, esto forzará al grupo criminal a publicar las aplicaciones maliciosas en la tienda oficial, que es lo que ocurrió en Brasil. Cuando este tipo de malware apareció se distribuía fuera de la tienda y hubo muchas víctimas, pero la gente se dio cuenta que era malo. Entonces, empezaron a no instalar y el número de víctimas cayó bastante. ¿Qué hicieron los hackers? Empezaron a poner las apps maliciosas en la tienda. Entonces, en este primer momento, es importante que la gente no instale nada fuera de la tienda.

Segundo. Es necesario tener un antivirus instalado. La gente ya sabe que tiene que proteger las computadoras con un antivirus, pero muchos creen que el teléfono no. Pero la verdad es que todo lo que hacemos en las computadoras ya se puede hacer en un celular. Pagos, compras, transferencias, acceder a la banca, se hace de todo.

Entonces, es importante que la gente tenga un buen antivirus para proteger su smartphone. El trabajo de este tipo de apps es hacer todos los chequeos para impedir que la víctima se infecte. Tercero, que es un mal latinoamericano, evitar las apps pirateadas. La gente, cuando quiere alguna aplicación pagada, la mayoría busca sus versiones pirateadas. Por lo general, el 99% de estas trae un código malicioso que permitirá que se infecte el teléfono.