Эволюция банковского троянца Zanubis: от Перу до полного контроля над Android-устройствами

С 2022 года Android-троянец Zanubis целенаправленно атакует финансовый сектор Перу. Начав с поддельных PDF-ридеров, к 2025 году он эволюционировал в сложную угрозу, маскируясь под приложения налоговой службы SUNAT, банков и энергетических компаний. Ключевой метод заражения — социальная инженерия: пользователей обманом заставляют активировать службы доступности (Accessibility Services), что дает троянцу неограниченный контроль.

2022: Базовая кража данных

В первой версии Zanubis собирал контакты, списки приложений и данные устройств, обходя оптимизацию батареи. Троянец использовал оверлейные атаки, подменяя интерфейсы 40 перуанских банковских приложений. Код тогда не имел обфускации, что упрощало анализ.

2023: Усложнение и расширение функционала

Версия-2023 внедрила обфускацию через Obfuscapk (мусорный код, переименование классов, RC4-шифрование). Появились новые опасные функции: перехват SMS для обхода двухфакторной аутентификации, запись экрана и блокировка устройств через фейковые обновления. При активации команды bloqueoUpdate троянец полностью парализовал телефон, имитируя установку системного апдейта, а в фоне изменял настройки или удалял приложения.

2024: Криптография и кража учетных данных

Обновление принесло AES-шифрование строк и коммуникаций с C2-серверами. Zanubis научился красть PIN-коды и графические ключи разблокировки устройств, отслеживая ввод через системные события. Целями стали не только банки, но и провайдеры виртуальных карт (14 новых жертв). В мае 2024 в VirusTotal зафиксировали свыше 30 тестовых образцов, что подтвердило активную разработку.

2025: Точечные атаки и скрытность

Современная версия сменила тактику. Вместо SUNAT троянец маскируется под энергетические компании (фейковые счета «Boleta_XXXXXX») и банки, внедряясь через сообщения «Следуйте инструкциям консультанта». Главное новшество — скрытная установка через PackageInstaller: полезная нагрузка извлекается из ресурсов APK-дроппера и инсталлируется в фоне без уведомлений. Круг жертв сузился до банков — криптокошельки исключены из целей.

Происхождение и риски

Локализация (латиноамериканский испанский в коде), знание перуанских реалий и телеметрия указывают на связь операторов с Перу. Троянец способен блокировать устройства, похищать SMS, записывать экран и красть банковские реквизиты. Его эволюция демонстрирует высокий уровень организации разработчиков.

MD5

• 03c1e2d713c480ec7dc39f9c4fad39ec
• 0a922d6347087f3317900628f191d069
• 0ac15547240ca763a884e15ad3759cf1
• 1b9c49e531f2ad7b54d40395252cbc20
• 216edf4fc0e7a40279e79ff4a5faf4f6
• 323d97c876f173628442ff4d1aaa8c98
• 45d07497ac7fe550b8b394978652caa9
• 5c11e88d1b68a84675af001fd4360068
• 628b27234e68d44e01ea7a93a39f2ad3
• 660d4eeb022ee1de93b157e2aa8fe1dc
• 687fdfa9417cfac88b314deb421cd436
• 6b0d14fb1ddd04ac26fb201651eb5070
• 79e96f11974f0cd6f5de0e7c7392b679
• 7ae448b067d652f800b0e36b1edea69f
• 81f91f201d861e4da765bae8e708c0d0
• 84bc219286283ca41b7d229f83fd6fdc
• 8820ab362b7bae6610363d6657c9f788
• 8949f492001bb0ca9212f85953a6dcda
• 90221365f08640ddcab86a9cd38173ce
• 90279863b305ef951ab344af5246b766
• 93553897e9e898c0c1e30838325ecfbd
• 940f3a03661682097a4e7a7990490f61
• 97003f4dcf81273ae882b6cd1f2839ef
• a28d13c6661ca852893b5f2e6a068b55
• b33f1a3c8e245f4ffc269e22919d5f76
• b3f0223e99b7b66a71c2e9b3a0574b12
• bcbfec6f1da388ca05ec3be2349f47c7
• e9b0bae8a8724a78d57bec24796320c0
• fa2b090426691e08b18917d3bbaf87ce
• fd43666006938b7c77b990b2b4531b9a