Il team GReAT di Kaspersky ha individuato una nuova variante del malware Zanubis, trojan bancario che si diffonde tramite app Android fraudolente per sottrarre credenziali bancarie e dati sensibili. L’ultima campagna ha preso di mira utenti peruviani, nascondendosi dietro applicazioni che imitano una società energetica e una banca locale, confermando un’evoluzione tecnica e strategica significativa rispetto alle versioni precedenti.
Zanubis, da PDF reader a minaccia invisibile
Individuato per la prima volta nel 2022, Zanubis si presentava come un innocuo lettore PDF o come app riconducibile a enti governativi peruviani. Oggi sfrutta tecniche di social engineering più sofisticate per convincere le vittime a scaricare file APK dannosi, camuffati da strumenti per consultare bollette o fatture. Una volta installato, il malware è in grado di registrare schermate, eseguire keylogging e rubare chiavi di portafogli digitali, rendendolo estremamente pericoloso anche per gli utenti di criptovalute.
Il vettore: APK fuori dagli store ufficiali
Zanubis sfrutta file APK distribuiti al di fuori degli store ufficiali, aggirando così i controlli di sicurezza di Google e Apple. I nomi dei file, come “Boleta_XXXX.apk” o “Factura_XXXX.apk”, ingannano l’utente facendogli credere di scaricare app per la gestione delle utenze domestiche. In altri casi, i cybercriminali si fingono consulenti bancari e forniscono istruzioni fraudolente per installare l’app infetta.
L’abuso delle autorizzazioni di accessibilità
Una volta installata, l’app mostra il logo ufficiale della società imitata e chiede l’accesso alle autorizzazioni di accessibilità di Android, che consentono di leggere lo schermo, controllare l’interfaccia e interagire con le app. Questi permessi, nati per aiutare gli utenti con disabilità, vengono sfruttati per rubare credenziali, intercettare messaggi e monitorare le attività bancarie in tempo reale, tutto all’insaputa della vittima.
Minaccia localizzata, ma in crescita
Secondo Kaspersky, è molto probabile che gli attori dietro Zanubis operino dal Perù, data l’accuratezza delle imitazioni e l’utilizzo di terminologia locale in spagnolo nel codice. L’ultima ondata ha già colpito oltre 130 utenti, portando a circa 1.250 il totale delle vittime monitorate finora. L’evoluzione di Zanubis lo ha trasformato da malware opportunistico a strumento sofisticato per attacchi mirati ad alto valore.
Le raccomandazioni di Kaspersky
Kaspersky invita gli utenti Android a prestare massima attenzione durante l’installazione delle app e propone alcune contromisure essenziali:
- Scaricare solo dagli store ufficiali, pur sapendo che anche questi possono essere aggirati, come dimostrato dal recente caso SparkCat, malware capace di catturare screenshot e individuato su Google Play e App Store.
- Controllare le recensioni, evitare link non ufficiali e dotarsi di software di sicurezza come Kaspersky Premium.
- Verificare le autorizzazioni richieste dalle app, soprattutto quelle che riguardano l’accessibilità.
- Aggiornare costantemente il sistema operativo e le applicazioni, per correggere eventuali falle di sicurezza.
Un allarme per aziende e utenti privati
Leandro Cuozzo, Security Researcher del GReAT di Kaspersky, sottolinea come Zanubis rappresenti un caso esemplare dell’evoluzione dei malware mobile: “È fondamentale rafforzare la consapevolezza digitale e adottare soluzioni di protezione solide per fermare queste minacce prima che raggiungano le vittime”.
