El troyano bancario Zanubis ha sido identificado como una de las diez amenazas cibernéticas más activas en el Perú. Desde su aparición en 2022, este malware ha evolucionado para engañar a los usuarios de smartphones con sistema Android, suplantando actualmente a 16 empresas del sector financiero y energético.
La infección suele iniciarse cuando los usuarios descargan aplicaciones móviles desde enlaces no oficiales, como los que circulan por mensajes de texto, WhatsApp o redes sociales. Una vez instalada, la aplicación maliciosa puede bloquear la pantalla del dispositivo, acceder a páginas web, grabar la actividad del usuario y ejecutar acciones de forma remota.
¿Cómo opera el troyano Zanubis en los dispositivos Android?
Zanubis pertenece a la categoría de troyanos de acceso remoto (RAT, por sus siglas en inglés), lo que le permite a los atacantes tomar el control del equipo sin necesidad de intervención directa del usuario. Según la firma de ciberseguridad Kaspersky, este malware es capaz de evadir mecanismos de seguridad como el doble factor de autenticación.
Leandro Cuozzo, analista de Kaspersky, explicó que Zanubis se activa tras obtener permisos de accesibilidad. En segundo plano, monitorea las aplicaciones bancarias que abre el usuario. Al detectar una de estas apps, despliega una pantalla falsa que imita a la original, capturando las credenciales ingresadas sin alertar a la víctima.
Entre sus funciones adicionales están el registro de pulsaciones (keylogging), la captura de pantalla y la recolección de datos sensibles como PIN o patrones de desbloqueo. Esta combinación permite realizar fraudes a gran escala de manera silenciosa.
Cómo identificar una posible infección por Zanubis
Las aplicaciones falsas asociadas a este troyano imitan el diseño de entidades financieras reales, incluyendo sus colores y logotipos. No obstante, existen señales de alerta: suelen ser distribuidas fuera de la tienda oficial Google Play y exigen permisos de accesibilidad que otorgan control total sobre el dispositivo.
El especialista Cuozzo señala que, si bien las detecciones disminuyeron en comparación con el año anterior, el troyano ha refinado sus técnicas para atacar de forma más selectiva. Además, advierte que su alcance podría extenderse a otros países de América Latina debido a su nivel de sofisticación, comparable con troyanos brasileños.
Kaspersky ha reportado la amenaza a INTERPOL y continúa monitoreando su evolución. Por ahora, su actividad está concentrada en territorio peruano.
Para reportar intentos de estafa, la División de Estafas de la Policía Nacional del Perú ha habilitado el número de WhatsApp: +51 980 122 390.
