Un virus, cuarenta aplicaciones, miles de cuentas: cómo un troyano bancario para Android se convirtió en una herramienta de chantaje masivo.
Zanubis ofrece "ayuda con los impuestos" mientras emite cheques en secreto a una billetera remota.
El malware Zanubis, diseñado específicamente para dispositivos basados en Android, sigue evolucionando, convirtiéndose en una de las ciberamenazas más sofisticadas en América Latina. Inicialmente dirigido exclusivamente a bancos, ha ampliado gradualmente su alcance a tarjetas virtuales y monederos de criptomonedas, adaptando sus métodos de ataque a la infraestructura digital de la región.
Según datos de Kaspersky Lab, el programa se distribuye haciéndose pasar por aplicaciones legítimas peruanas y engaña a los usuarios para que concedan permisos ampliados a través de los servicios de accesibilidad de Android. Una vez obtenidos estos privilegios, Zanubis puede interceptar datos, registrar pulsaciones de teclas, controlar el dispositivo de forma remota y ejecutar comandos del operador sin ser detectado.
Desde su primer descubrimiento en agosto de 2022, cuando Zanubis se hacía pasar por un visor de archivos PDF, su funcionalidad ha aumentado significativamente. Ya en ese entonces, el malware atacaba con éxito más de cuarenta aplicaciones del sector financiero en Perú mediante pantallas superpuestas que reemplazaban las interfaces de los programas bancarios y capturaban las credenciales de acceso.
En 2023, la amenaza fue detectada en la forma de una aplicación oficial de la agencia tributaria peruana SUNAT. Los atacantes utilizaron herramientas de ofuscación de código, incluyendo Obfuscapk, para dificultar el análisis del malware. Además, incorporaron cifrado RC4 para la comunicación con el servidor de mando y control, así como páginas web falsas de entrenamiento que convencían al usuario de habilitar permisos sospechosos.
Para 2024, Zanubis introdujo nuevas técnicas de sigilo. Se implementó cifrado AES en modo ECB, descifrado de cadenas en tiempo real usando claves basadas en PBKDF2, así como la capacidad de interceptar datos introducidos en la pantalla de bloqueo. Al mismo tiempo, apareció una herramienta de grabación de pantalla y un módulo para falsificar actualizaciones del sistema que bloquean el acceso al dispositivo mientras se ejecutan operaciones maliciosas en segundo plano.
La última actualización en 2025 hizo que el virus fuera aún más peligroso. Ahora utiliza la clase PackageInstaller para instalar aplicaciones “en silencio” sin el conocimiento del usuario. El objetivo principal es el robo de datos de bancos, empresas energéticas y otras entidades clave para la economía peruana. Para ello, se utilizan “documentos” especialmente preparados: facturas falsas e instrucciones supuestamente de asesores financieros.
Según Kaspersky Lab, los atacantes demuestran un profundo conocimiento de la realidad regional y utilizan con soltura el español latinoamericano, lo que permite suponer que son de origen local. Todos los indicios apuntan a una actividad deliberada orientada a maximizar el volumen de datos robados con una mínima probabilidad de detección.
Zanubis sigue desarrollándose como un ejemplo de ciberamenaza persistente y peligrosa, subrayando la importancia de mejorar continuamente la higiene digital entre los usuarios y las empresas. La lucha contra amenazas como esta requiere no solo medidas técnicas, sino también una vigilancia constante ante cualquier intento de ingeniería social.
Las huellas digitales son tu debilidad, y los hackers lo saben