***
Il Kaspersky Global Research and Analysis Team (GReAT) ha scoperto una nuova versione del trojan Zanubis, progettato per colpire il mobile banking e attualmente rivolto agli utenti in Perù. Nel 2022, quando Zanubis è stato individuato per la prima volta, imitava i PDF reader o le applicazioni riconducibili a enti governativi peruviani. Oggi, invece, si nasconde sotto forma di due nuove applicazioni: una appartenente a un’azienda locale del settore energetico e l’altra a una banca locale. Attraverso sofisticate tecniche di social engineering, le vittime vengono indotte a scaricare e installare queste app fraudolente, che sottraggono le credenziali bancarie e le chiavi dei portafogli digitali o di criptovalute. Zanubis è inoltre in grado di eseguire attività di keylogging, registrazione dello schermo e altre azioni pericolose. Secondo Kaspersky, l’ultima campagna ha già colpito oltre 130 utenti, mentre il numero complessivo delle vittime rilevate dall’inizio del monitoraggio di questo malware ammonta a circa 1.250.
Sugli smartphone con sistema operativo Android, le applicazioni possono essere installate non solo tramite gli store ufficiali, ma anche attraverso file APK, aggirando così i controlli degli store. Zanubis ha sfruttato proprio questa modalità per infettare i dispositivi delle vittime. Quando si finge un'app dell’azienda energetica, il file APK dannoso viene distribuito con nomi ingannevoli come “Boleta_XXXXXX.apk” (“Bolletta”) o “Factura_XXXX.apk” (“Fattura”). Queste applicazioni si presentano come falsi strumenti per la consultazione delle fatture, invitando l’utente a installarle e inserire i propri dati cliente per controllare eventuali pagamenti mancati. Nel caso dell’imitazione dell’app bancaria, le vittime vengono invece convinte a scaricare il malware da un presunto consulente bancario, che fornisce istruzioni fraudolente per l’installazione dell'app dannosa.
Quando l’utente scarica e avvia uno dei file APK descritti, appare una schermata con il logo della società utilizzato in modo ingannevole, indicando che sono in corso i controlli necessari. L'applicazione chiede all'utente di autorizzare l'accesso, assicurando che sia necessario per il normale funzionamento dell'applicazione.
Le autorizzazioni di accessibilità di Android permettono alle app di interagire e controllare vari aspetti dell'interfaccia e delle funzionalità del dispositivo e vengono attivati principalmente per l’assistenza di utenti con disabilità. Una volta che un'app malware ottiene le autorizzazioni di accessibilità, i cybercriminali sono in grado di monitorare e acquisire di nascosto i dati sensibili dell'utente, come password, messaggi e dati bancari, leggendo il contenuto dello schermo e le notifiche. Questo è esattamente quello che succede con il malware Zanubis.
Inoltre, secondo Kaspersky è probabile che gli attori della minaccia Zanubis operino dal Perù visto che nel codice viene spesso utilizzato lo spagnolo latino-americano e gli aggressori dimostrano di conoscere le agenzie bancarie e governative peruviane.
“Zanubis ha mostrato una chiara evoluzione, passando da un semplice trojan bancario a una minaccia altamente sofisticata e multifunzionale. Il suo obiettivo rimane quello di colpire bersagli ad alto valore, in particolare banche e istituzioni finanziarie in Perù. Gli autori dietro Zanubis non danno segni di rallentamento e continuano a perfezionare le loro tattiche, modificando i metodi di distribuzione per garantire che il malware raggiunga nuove vittime ed entri in azione con efficacia. È fondamentale che sia gli utenti privati sia le aziende prestino sempre attenzione, migliorando la propria consapevolezza digitale e adottando soluzioni di sicurezza solide e affidabili per difendersi da minacce di questo tipo”, ha dichiarato Leandro Cuozzo, Security Researcher del Global Research and Analysis Team di Kaspersky.
Per maggiori informazioni, è possibile consultare il report su Securelist.com.
Per proteggersi dalle minacce ai dispositivi mobili, Kaspersky consiglia di:
· Scaricare le app solo dagli app store ufficiali per smartphone, come Apple App Store e Google Play, tenendo presente che anche il download di app dagli store ufficiali non è sempre privo di rischi. Kaspersky ha recentemente scoperto SparkCat, il primo malware che ruba gli screenshot per aggirare la sicurezza dell'App Store. Il malware è stato individuato anche su Google Play, con un totale di 20 app infette su entrambe le piattaforme, a dimostrazione del fatto che questi store non sono infallibili al 100%.
· Controllare sempre le recensioni delle app, utilizzando solo link provenienti da siti web ufficiali e installando un software di sicurezza affidabile, come Kaspersky Premium, in grado di rilevare e bloccare le attività dannose se un'app si rivela fraudolenta.
· Verificare le autorizzazioni delle app utilizzate e valutare attentamente prima di autorizzare un'applicazione, soprattutto quando si tratta di autorizzazioni ad alto rischio come gli Accessibility Services.
· Aggiornare il sistema operativo e le applicazioni importanti appena possibile. Molti problemi di sicurezza possono essere risolti installando versioni aggiornate del software.
Global Research & Analysis Team (GReAT)
Fondato nel 2008, il Global Research & Analysis Team (GReAT) è il cuore di Kaspersky e si occupa di scoprire APT, campagne di cyberspionaggio, principali malware, ransomware e strategie criminali clandestine in tutto il mondo. Oggi il GReAT è composto da oltre 40 esperti che lavorano a livello globale, in Europa, Russia, America Latina, Asia e Medio Oriente. Professionisti della sicurezza di grande esperienza che guidano l’azienda nella ricerca e nell'innovazione anti-malware, mettendo a disposizione expertise, passione e curiosità senza precedenti per la ricerca e l'analisi delle minacce informatiche.
