Los expertos de Kaspersky han analizado la reciente actividad de Zanubis, un troyano bancario que se caracteriza por su habilidad para suplantar aplicaciones legítimas. La investigación también arroja luz sobre el cryptor/loader AsymCrypt y el stealer Lumma, poniendo de manifiesto la necesidad de mejorar la ciberseguridad.
Zanubis, el troyano bancario para dispositivos Android, fue descubierto en agosto de 2022 y entonces atacaba a usuarios de banca y criptomonedas de Perú, engañando a las víctimas haciéndose pasar por aplicaciones legítimas de Android. En abril de 2023 evolucionó de forma muy sofisticada suplantando la app oficial de SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria), el equivalente a la Agencia Tributaria española.
Anubis escribe código malicioso sin que el antivirus lo detecte a través de Obfuscapk, una app muy popular para Android. Cuando consigue permiso para acceder al dispositivo, engaña a la víctima cargando un sitio web aparentemente legítimo de SUNAT.
Para comunicarse con el servidor de control, utiliza WebSockets y una biblioteca llamada Socket.IO. Esto le permite mantenerse conectado prácticamente en cualquier circunstancia. Zanubis se puede programar en remoto para el robo de datos cuando se ejecuten aplicaciones concretas. Este malware permite crear una segunda conexión para dar control total a los ciberdelincuentes sobre el dispositivo. La cosa no acaba ahí: a través de una actualización de Android pueden desactivar por completo el equipo.
Otro de los hallazgos de la investigación es el cryptor/loader AsymCrypt, que se dirige contra carteras o wallets criptográficos y se comercializa en foros clandestinos. Es una versión evolucionada del cargador o loader DoubleFinger.
Los usuarios de este malware pueden personalizar los métodos de inyección, la persistencia o los tipos de código auxiliar para archivos DLL maliciosos, ocultando la carga útil en un blob cifrado dentro de una imagen ‘.png’ cargada desde un sitio de alojamiento de imágenes.
Kaspersky también ha seguido la pista al stealer Lumma, malware en constante evolución. Originalmente conocido como Arkei, conserva el 46% de sus ‘genes’ anteriores. Disfrazado de conversor de archivos ‘.docx’ a ‘.pdf’, se activa cuando el archivo a convertir vuelve al usuario con la doble extensión ‘pdf.exe’. El objetivo de este malware es el robo de archivos en caché, de configuración y de billeteras criptográficas. Lo puede hacer a través del navegador, pero también a través de aplicaciones independientes como la utilizada por los usuarios de Binance. La nueva evolución de Lumma incorpora la adquisición de listas de procesos del sistema, cambios de URL y técnicas avanzadas de cifrado.
“Los ciberdelincuentes son implacables en su afán por ganar criptomonedas. No dudan, incluso, en hacerse pasar por instituciones gubernamentales para lograr sus objetivos. La evolución constante del malware se ejemplifica en el multifacético stealerLumma y el siempre ambicioso Zanubis. Adaptarse a esta transformación constante del código malicioso y las tácticas cibercriminales es un desafío continuo para los equipos de ciberseguridad. Para protegerse contra estos peligros, las organizaciones deben permanecer alerta y estar siempre bien informadas. Los informes de inteligencia desempeñan un papel fundamental para estar al tanto de las últimas herramientas maliciosas y técnicas de ataque, lo que permite estar un paso por delante”, asegura Tatyana Shishkova, analista principal de Seguridad de GReAT.
