Zanubis si aggiorna, e cerca di rubare i dati bancari degli utenti Android

È stata scoperta una nuova variante del malware Zanubis grazie alle analisi condotte dal Global Research and Analysis Team (GReAT) di Kaspersky. La minaccia, già nota dal 2022 per aver preso di mira utenti peruviani fingendosi lettore PDF o applicazioni governative, ha ora cambiato strategia operativa adottando mascheramenti più sofisticati e convincenti.

L'attuale campagna di distribuzione, anch'essa al momento circoscritta al Perù, sfrutta due tipologie di applicazioni fraudolente: la prima simula un'app di un'azienda energetica locale, mentre la seconda replica l'interfaccia di una banca peruviana. Gli aggressori distribuiscono i file APK dannosi attraverso nomi ingannevoli come "Boleta_XXXXXX.apk" o "Factura_XXXX.apk", termini che richiamano rispettivamente bollette e fatture. L'installazione avviene aggirando completamente i controlli degli store ufficiali, sfruttando la possibilità offerta da Android di installare applicazioni da fonti sconosciute.

Kaspersky scopre una nuova variante del malware Zanubis

La strategia di infezione si basa su elaborate tecniche di ingegneria sociale: nel caso della falsa app energetica, le vittime vengono convinte a scaricare il software per verificare presunte fatture non pagate. Per quanto riguarda l'imitazione bancaria, gli attaccanti si fingono consulenti dell'istituto di credito, fornendo istruzioni dettagliate per l'installazione dell'applicazione malevola.

Una volta avviato, Zanubis presenta una schermata con il logo della società imitata, comunicando che sono in corso verifiche di sicurezza. In seguito, l'app richiede le autorizzazioni di accessibilità di Android, giustificando la richiesta come necessaria per il normale funzionamento. L'ottenimento di tali permessi rappresenta la chiave del successo dell'attacco: attraverso questi privilegi, il malware acquisisce la capacità di monitorare l'interfaccia utente, leggere il contenuto dello schermo e intercettare le notifiche.

Il trojan implementa anche funzionalità di keylogging per registrare le digitazioni dell'utente, sistemi di cattura screenshot per documentare le attività e moduli specifici per il furto di chiavi di portafogli digitali e criptovalute. L'analisi del codice rivela l'utilizzo frequente dello spagnolo latino-americano, suggerendo che gli sviluppatori operino direttamente dal Perù e possiedano una conoscenza approfondita del sistema bancario e delle istituzioni governative locali.

I dati raccolti da Kaspersky mostrano che l'ultima campagna ha già compromesso oltre 130 dispositivi, portando il numero totale delle vittime identificate dall'inizio del monitoraggio a circa 1.250 utenti. Leandro Cuozzo, Security Researcher del GReAT, sottolinea come Zanubis rappresenti un esempio di evoluzione continua: da semplice trojan bancario è diventato una minaccia multifunzionale altamente sofisticata, con gli autori che non mostrano segni di rallentamento nel perfezionamento delle loro tattiche.

Sebbene Zanubis non risulti attualmente attivo in Italia, la sua sofisticazione e le tecniche utilizzate offrono spunti preziosi per la protezione da minacce simili. Per evitare di essere vulnerabili ad attacchi di questo tipo è caldamente consigliato il download esclusivo da store ufficiali come App Store e Play Store, l'installazione degli ultimi aggiornamenti di sicurezza, e che la verifica attenta delle recensioni e delle autorizzazioni richieste dalle app. Su dispositivi altamente sensibili, inoltre, è utile installare soluzioni di sicurezza dedicate. In ogni caso, particolare attenzione va prestata alle richieste di accesso alle componenti di sistema di Android, con le autorizzazioni che dovrebbero essere concesse solo ad applicazioni di comprovata affidabilità.