Zanubis: Эволюция банковского трояна для Android и угрозы для финансового сектора Перу
Zanubis — это банковский троян для Android, впервые обнаруженный в середине 2022 года. Изначально он был нацелен на финансовые учреждения и криптовалютных пользователей в Перу, однако с тех пор значительно эволюционировал, расширив свои возможности и целевую аудиторию. Этот вредонос использует сложные методы маскировки и атаки, что делает его серьезной угрозой для безопасности мобильных пользователей и финансового сектора страны.
История и методы развития Zanubis
Первыми жертвами Zanubis стали пользователи, пользующиеся банковскими и криптовалютными сервисами в Перу. Вредоносное ПО выдавало себя за легитимные приложения, чтобы обманом получить доступ к конфиденциальной информации. Его архитектура прошла несколько этапов совершенствования:
- Использование мошеннических приложений, замаскированных под популярные сервисы;
- Сбор данных с устройств и мониторинг установки приложений;
- Применение обфускации кода с помощью фреймворка Obfuscapk, что затрудняет обнаружение и анализ;
- Внедрение защищенного канала связи с сервером управления (C2), использующего протокол WebSocket с шифрованием RC4, а затем AES в режиме ECB.
Функциональные возможности Zanubis
Сегодня Zanubis не просто крадет учетные данные, он получает практически полный контроль над зараженным устройством. Его возможности включают:
- Службы специальных возможностей, позволяющие осуществлять оверлейные атаки через имитацию интерфейса легитимных приложений и перехват вводимых данных;
- Кейлоггинг — запись нажатий клавиш для сбора паролей и другой конфиденциальной информации;
- Запись экрана с целью получения визуальных данных;
- Перехват SMS, включая коды двухфакторной аутентификации;
- Новые функции в последних версиях демонстрируют более изощренные механизмы мониторинга и сбора аутентификационных данных;
- Расширение списка целевых приложений, сфокусировавшись на основных банках и ключевых финансовых учреждениях.
Социальная инженерия и географический аспект
Одной из ключевых тактик Zanubis является использование методов социальной инженерии. Он вынуждает пользователей предоставлять обширные разрешения, необходимые для эксплуатации уязвимостей. Особенно примечательна способность вредоносного ПО маскироваться под официальные приложения, например, SUNAT — налоговую службу Перу. Это серьезно повышает шансы на успешное заражение.
Эксперты предполагают, что разработчики Zanubis базируются в Перу. Это основано на следующих факторах:
- Отличное знание местных языков и банковских систем;
- Таргетинг на перуанские финансовые сервисы;
- Уровень адаптации вредоносного ПО к особенностям регионального рынка.
Заключение: постоянная угроза и необходимость бдительности
Zanubis продолжает быстро развиваться, совершенствуя методы обхода средств защиты и расширяя спектр своих возможностей. Он представляет собой пример целенаправленной и организованной деятельности киберпреступников, сосредоточенной на релевантных финансовых целях в регионе.
Этот кейс подчеркивает важность постоянной бдительности для пользователей мобильных устройств и организаций финансового сектора, особенно в странах с быстрорастущим рынком цифровых финансов, таких как Перу.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Zanubis: эволюция банковского трояна и скрытые угрозы для финансов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.