Zanubis нацелен на пользователей в Перу, однако эксперты не исключают, что приманку с фальшивым инструментом для проверки неоплаченных счетов могут применять атакующие и в других регионах
Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили новую версию мобильного банковского троянца для Android — Zanubis. Она мимикрирует под приложения реальных перуанского банка и энергетической компании, а распространяется под видом выставленных пользователю счетов и инструкции от «банковского консультанта». Троянец умеет красть учётные данные от финансовых сервисов, а также ключи от криптокошельков. Кроме того, зловред имеет функциональность кейлоггера (отслеживает и передаёт атакующим набранный пользователем на смартфоне текст) и делает скриншоты экрана.
Как попадает на устройство. Потенциальных жертв убеждают скачать Zanubis с помощью методов социальной инженерии. В случае, когда злоумышленники имитируют взаимодействие с энергетической компанией, они присылают пользователям APK-файлы с названиями, в которых фигурируют слова Boleta («счёт») либо Factura («счёт-фактура»). Они мимикрируют под приложение для проверки неоплаченных документов. В сценарии, когда атакующие имитируют общение жертвы с банком, они направляют ей заражённый установочный файл, который позиционируется как инструкция от «банковского консультанта».
Что происходит после загрузки. Как только пользователь загружает и запускает на смартфоне вредоносное приложение, на экране появляется логотип — энергетической компании или банка, а также уведомление о некой проверке. Приложение запрашивает доступ к специальным возможностям на Android — это якобы необходимо для корректной работы. Однако на самом деле таким образом Zanubis крадёт конфиденциальные данные жертв на заражённом устройстве: зловред получает доступ к информации, отображаемой на экране и в уведомлениях.
«В коде Zanubis используется латиноамериканский испанский, атакующие хорошо осведомлены о локальных финансовых организациях, поэтому мы можем предположить, что злоумышленники, скорее всего, из Латинской Америки и их цель — данные пользователей из того же региона. Несмотря на это, следить за подобными вредоносными кампаниями крайне важно специалистам по всему миру, чтобы совершенствовать инструменты защиты, ведь злоумышленники могут перенимать техники и легенды друг у друга и использовать их в других регионах», — предупреждает Дмитрий Галов, руководитель Kaspersky GReAT в России.
Для защиты от подобных угроз эксперты Kaspersky GReAT рекомендуют:
· скачивать программы только из официальных источников: магазинов приложений или с сайтов компаний-разработчиков;
· использовать надёжное защитное решение, например Kaspersky для Android;
· не давать приложениям разрешения, которые им не нужны для корректной работы, а также с осторожностью относиться к запросу на доступ к специальным возможностям (Accessibility Services).
