Le vittime del malware vengono indotte a scaricare e installare queste app fraudolente, che sottraggono le credenziali bancarie e le chiavi dei portafogli digitali o di criptovalute.
Autore: Redazione BitCity
Pubblicato il: 06/06/2025
Il Kaspersky Global Research and Analysis Team (GReAT) ha scoperto una nuova versione del trojan Zanubis, progettato per colpire il mobile banking e attualmente rivolto agli utenti in Perù. Nel 2022, quando Zanubis è stato individuato per la prima volta, imitava i PDF reader o le applicazioni riconducibili a enti governativi peruviani. Oggi, invece, si nasconde sotto forma di due nuove applicazioni: una appartenente a un’azienda locale del settore energetico e l’altra a una banca locale. Attraverso sofisticate tecniche di social engineering, le vittime vengono indotte a scaricare e installare queste app fraudolente, che sottraggono le credenziali bancarie e le chiavi dei portafogli digitali o di criptovalute. Zanubis è inoltre in grado di eseguire attività di keylogging, registrazione dello schermo e altre azioni pericolose. Secondo Kaspersky, l’ultima campagna ha già colpito oltre 130 utenti, mentre il numero complessivo delle vittime rilevate dall’inizio del monitoraggio di questo malware ammonta a circa 1.250.
Sugli smartphone con sistema operativo Android, le applicazioni possono essere installate non solo tramite gli store ufficiali, ma anche attraverso file APK, aggirando così i controlli degli store. Zanubis ha sfruttato proprio questa modalità per infettare i dispositivi delle vittime. Quando si finge un'app dell’azienda energetica, il file APK dannoso viene distribuito con nomi ingannevoli come “Boleta_XXXXXX.apk” (“Bolletta”) o “Factura_XXXX.apk” (“Fattura”). Queste applicazioni si presentano come falsi strumenti per la consultazione delle fatture, invitando l’utente a installarle e inserire i propri dati cliente per controllare eventuali pagamenti mancati. Nel caso dell’imitazione dell’app bancaria, le vittime vengono invece convinte a scaricare il malware da un presunto consulente bancario, che fornisce istruzioni fraudolente per l’installazione dell'app dannosa.
Quando l’utente scarica e avvia uno dei file APK descritti, appare una schermata con il logo della società utilizzato in modo ingannevole, indicando che sono in corso i controlli necessari. L'applicazione chiede all'utente di autorizzare l'accesso, assicurando che sia necessario per il normale funzionamento dell'applicazione.
Le autorizzazioni di accessibilità di Android permettono alle app di interagire e controllare vari aspetti dell'interfaccia e delle funzionalità del dispositivo e vengono attivati principalmente per l’assistenza di utenti con disabilità. Una volta che un'app malware ottiene le autorizzazioni di accessibilità, i cybercriminali sono in grado di monitorare e acquisire di nascosto i dati sensibili dell'utente, come password, messaggi e dati bancari, leggendo il contenuto dello schermo e le notifiche. Questo è esattamente quello che succede con il malware Zanubis.
Inoltre, secondo Kaspersky è probabile che gli attori della minaccia Zanubis operino dal Perù visto che nel codice viene spesso utilizzato lo spagnolo latino-americano e gli aggressori dimostrano di conoscere le agenzie bancarie e governative peruviane.
“Zanubis ha mostrato una chiara evoluzione, passando da un semplice trojan bancario a una minaccia altamente sofisticata e multifunzionale. Il suo obiettivo rimane quello di colpire bersagli ad alto valore, in particolare banche e istituzioni finanziarie in Perù. Gli autori dietro Zanubis non danno segni di rallentamento e continuano a perfezionare le loro tattiche, modificando i metodi di distribuzione per garantire che il malware raggiunga nuove vittime ed entri in azione con efficacia. È fondamentale che sia gli utenti privati sia le aziende prestino sempre attenzione, migliorando la propria consapevolezza digitale e adottando soluzioni di sicurezza solide e affidabili per difendersi da minacce di questo tipo”, ha dichiarato Leandro Cuozzo, Security Researcher del Global Research and Analysis Team di Kaspersky.