30/05/25
Вредоносное ПО Zanubis, созданное специально для устройств на базе Android, продолжает эволюционировать, превращаясь в одну из самых изощрённых киберугроз на территории Латинской Америки. Изначально нацеленное исключительно на банки, оно постепенно расширило охват до виртуальных карт и криптовалютных кошельков, адаптируя методы атаки под цифровую инфраструктуру региона, пишет Securitylab.
По данным «Лаборатории Касперского», программа распространяется под видом легитимных перуанских приложений и обманом заставляет пользователей предоставить расширенные права через сервисы специальных возможностей Android. Получив такие привилегии, Zanubis получает возможность перехватывать данные, осуществлять кейлоггинг, управлять устройством удалённо и незаметно выполнять команды оператора.
С момента первого обнаружения в августе 2022 года, когда Zanubis маскировался под просмотрщик PDF-файлов, его функциональность существенно возросла. Уже тогда вредоносное ПО успешно атаковало более сорока приложений финансового сектора в Перу с помощью оверлей-экранов, подменяющих интерфейс банковских программ и выманивающих данные для входа.
В 2023 году угрозу заметили в образе официального приложения перуанской налоговой службы SU NAT. Злоумышленники применили инструменты запутывания кода, включая Obfuscapk, чтобы затруднить анализ вредоносной программы. Дополнительно добавили RC4-шифрование для связи с командным сервером, а также поддельные обучающие веб-страницы, убеждающие пользователя в необходимости включить подозрительные разрешения.
К 2024 году у Zanubis появились новые приёмы скрытности. Было внедрено шифрование AES в режиме ECB, расшифровка строк в реальном времени с помощью ключей на базе PBKDF2, а также возможность перехватывать данные, вводимые на экране блокировки. Одновременно появился инструмент записи экрана и модуль для подделки системных обновлений, блокирующих доступ к устройству, пока в фоновом режиме выполняются вредоносные операции.
Последнее обновление в 2025 году сделало вирус ещё опаснее. Теперь он использует класс PackageInstaller для «тихой» установки приложений без ведома пользователя. Главная цель — кража данных у банков, энергетических компаний и других структур, значимых для экономики Перу. Для этого применяются специально подготовленные «документы» — поддельные счета и инструкции якобы от финансовых консультантов.
По данным «Лаборатории Касперского», злоумышленники демонстрируют глубокое знание региональных реалий и свободно используют латиноамериканский испанский, что позволяет предположить их местное происхождение. Все признаки указывают на целенаправленную деятельность по максимизации объёмов украденных данных при минимальной вероятности обнаружения.
Zanubis продолжает развиваться как пример живучей и опасной киберугрозы, подчёркивая важность регулярного повышения цифровой гигиены среди пользователей и компаний. Противодействие подобным угрозам требует не только технических мер, но и постоянной настороженности к любым попыткам социальной инженерии.
