Το κακόβουλο λογισμικό Zanubis απειλεί τις τραπεζικές εφαρμογές στο Android

Η απειλή του Zanubis και η εξάπλωσή του

Το κακόβουλο λογισμικό Zanubis, ένα επικίνδυνο Trojan για Android, έχει εξελιχθεί σε μια εξαιρετικά περίπλοκη απειλή. Αρχικά, στόχευε χρηματοπιστωτικά ιδρύματα στο Περού, αλλά πλέον έχει επεκτείνει τη δράση του σε εικονικές κάρτες και πορτοφόλια κρυπτονομισμάτων. Αυτή η κακόβουλη εφαρμογή, γνωστή για την ικανότητά της να μιμείται νόμιμες εφαρμογές Android του Περού, παραπλανά τους χρήστες ώστε να της παραχωρήσουν δικαιώματα προσβασιμότητας. Έτσι, αποκτά τη δυνατότητα εκτεταμένης κλοπής δεδομένων και απομακρυσμένου ελέγχου.

Η εξέλιξη μιας περίπλοκης απειλής

Με την πάροδο των ετών, το Zanubis έχει υποστεί συνεχή ανάπτυξη, με τους δημιουργούς του να βελτιώνουν τον κώδικά του, να ενισχύουν τις τεχνικές απόκρυψης και να εισάγουν νέες λειτουργίες για την επιτάχυνση των ρυθμών μόλυνσης. Από τις πρώτες μέρες του, όταν χρησιμοποιούσε σκληροκωδικοποιημένες τοποθεσίες Pastebin για την ανάκτηση ρυθμίσεων, μέχρι σήμερα που εφαρμόζει προηγμένες τεχνικές κρυπτογράφησης και παραπλανητικές τακτικές, το Zanubis αποτελεί μια επίμονη και εξελισσόμενη απειλή στον τομέα της κυβερνοασφάλειας.

Η ικανότητά του να κλέβει τραπεζικά διαπιστευτήρια μέσω επιθέσεων overlay, να καταγράφει πληκτρολογήσεις και να εκτελεί απομακρυσμένες εντολές χωρίς τη γνώση του χρήστη, υπογραμμίζει την επικίνδυνη δυναμική του, ιδιαίτερα για τους χρήστες στο Περού. Σύμφωνα με την αναφορά του Secure List, το Zanubis έχει επιδείξει αξιοσημείωτες τεχνικές προόδους από την αρχική του εμφάνιση.

Τεχνικές εξελίξεις και κρυπτογράφηση

Αρχικά ανιχνεύθηκε τον Αύγουστο του 2022, παρουσιάζοντας τον εαυτό του ως αναγνώστη PDF, και στόχευε 40 χρηματοπιστωτικές εφαρμογές στο Περού μέσω επιθέσεων overlay, διευκολυμένων από καταχρηστικές υπηρεσίες προσβασιμότητας. Μέχρι το 2023, προσποιούνταν ότι ήταν η επίσημη εφαρμογή SUNAT, ενσωματώνοντας τεχνικές απόκρυψης μέσω εργαλείων όπως το Obfuscapk για να εμποδίσει την αντίστροφη μηχανική. Αυτή η έκδοση εισήγαγε άχρηστο κώδικα, κρυπτογράφηση RC4 για επικοινωνίες C2 και κοινωνικές μηχανικές όπως ψεύτικες ιστοσελίδες οδηγιών για την εξασφάλιση δικαιωμάτων.

Οι δυνατότητές του επεκτάθηκαν για να περιλαμβάνουν την υποκλοπή SMS για την αναχαίτιση κωδικών επαλήθευσης δύο παραγόντων, την καταγραφή οθόνης για την καταγραφή αλληλεπιδράσεων του χρήστη και παραπλανητικές ψεύτικες ενημερώσεις συστήματος για το κλείδωμα συσκευών ενώ εκτελεί κακόβουλες ενέργειες στο παρασκήνιο.

Ενίσχυση της απόκρυψης και στόχευση υψηλής αξίας

Το 2024, το Zanubis ενίσχυσε την απόκρυψή του με κρυπτογράφηση AES σε λειτουργία ECB για επικοινωνίες C2 και αποκρυπτογράφηση συμβολοσειρών σε πραγματικό χρόνο χρησιμοποιώντας κλειδιά που προέρχονται από το PBKDF2, παράλληλα με την κλοπή διαπιστευτηρίων από οθόνες κλειδώματος συσκευών. Μέχρι το 2025, το κακόβουλο λογισμικό υιοθέτησε τεχνικές σιωπηλής εγκατάστασης μέσω της κλάσης PackageInstaller και εστίασε αποκλειστικά σε στόχους υψηλής αξίας, μιμούμενο οντότητες στους τομείς ενέργειας και χρηματοοικονομικών του Περού με προσαρμοσμένα δολώματα όπως ψεύτικα τιμολόγια και οδηγίες συμβούλων.

Αυτές οι ενημερώσεις αντικατοπτρίζουν μια σκόπιμη στρατηγική για τη μεγιστοποίηση της αποτελεσματικότητας της κλοπής δεδομένων ενώ αποφεύγει την ανίχνευση, με ενδείξεις που υποδηλώνουν ότι οι απειλητικοί παράγοντες λειτουργούν τοπικά λόγω της χρήσης ισπανικών της Λατινικής Αμερικής και της βαθιάς γνώσης των περιφερειακών ιδρυμάτων. Καθώς το Zanubis συνεχίζει να βελτιώνει τις μεθόδους διανομής και τις κακόβουλες λειτουργίες του, αποτελεί συνεχή κίνδυνο, απαιτώντας αυξημένη επαγρύπνηση μεταξύ των χρηστών και των οργανισμών για την άμβλυνση των επιπτώσεών του μέσω ισχυρών πρακτικών ασφάλειας και ευαισθητοποίησης για τις τακτικές κοινωνικής μηχανικής.

Ενδείξεις παραβίασης (IoC)

Βρείτε αυτή την είδηση ενδιαφέρουσα! Ακολουθήστε μας σε Google News, LinkedIn, & X για άμεσες ενημερώσεις!