Um trojan bancário para Android em ascensão chamado Zanubis está agora se disfarçando como um aplicativo do governo peruano para enganar usuários desavisados a instalarem o malware.
"O principal método de infecção de Zanubis é através da imitação de aplicações Android legítimas do Peru e, em seguida, enganando o usuário a habilitar as permissões de acessibilidade para tomar total controle do dispositivo", disse a Kaspersky em uma análise publicada na semana passada.
Zanubis, documentado originalmente em agosto de 2022, é a mais recente adição a uma longa lista de malwares bancários para Android que visam a região da América Latina (LATAM).
As vítimas incluem mais de 40 bancos e entidades financeiras no Peru.
É principalmente conhecido por abusar das permissões de acessibilidade no dispositivo infectado para exibir falsas telas de sobreposição no topo dos aplicativos visados em uma tentativa de roubar credenciais.
Ele também é capaz de colher dados de contato, lista de aplicativos instalados e metadados do sistema.
A Kaspersky disse que observou amostras recentes de Zanubis em abril de 2023, operando sob o disfarce da agência peruana de alfândega e tributos, conhecida como Superintendencia Nacional de Aduanas y de Administración Tributaria (SUNAT).
O ato de instalar o aplicativo e conceder a ele permissões de acessibilidade permite executá-lo em segundo plano e carregar o site genuíno da SUNAT usando o WebView do Android para criar um visual de legitimidade.
Mantém conexões com um servidor controlado pelo ator para receber comandos da próxima fase via WebSockets.
As permissões são ainda mais exploradas para manter um controle sobre os aplicativos que estão sendo abertos no dispositivo e compará-los a uma lista de aplicativos alvos.
Caso um aplicativo na lista seja lançado, Zanubis começa a registrar as teclas digitadas ou registrar a tela para sifonar dados sensíveis.
O que diferencia Zanubis e torna-o mais potente é sua habilidade de fingir ser uma atualização do sistema operacional Android, tornando o dispositivo efetivamente inutilizável.
"Enquanto a 'atualização' ocorre, o telefone permanece inutilizável ao ponto de não poder ser bloqueado ou desbloqueado, já que o malware monitora essas tentativas e as bloqueia", observou a Kaspersky.
Essa descoberta ocorre enquanto AT&T Alien Labs detalhou outra RAT (trojan de acesso remoto) baseada em Android, chamada MMRat, que é capaz de capturar entradas do usuário e conteúdo da tela, bem como comandar e controlar.
“RATs são uma escolha popular para hackers utilizarem devido às suas muitas habilidades, desde reconhecimento e exfiltração de dados até persistência a longo prazo”, disse a empresa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...