<div id="post_message_794374">

Zanubis предлагает «помочь с налогами», а сам тайно выписывает чеки на удалённый кошелёк.<br/>
<br/>
Вредоносное ПО Zanubis, созданное специально для устройств на базе Android , продолжает эволюционировать, превращаясь в одну из самых изощрённых киберугроз на территории Латинской Америки. Изначально нацеленное исключительно на банки, оно постепенно расширило охват до виртуальных карт и криптовалютных кошельков, адаптируя методы атаки под цифровую инфраструктуру региона.<br/>
<br/>
<a href="https://securelist.com/evolution-of-zanubis-banking-trojan-for-android/116588/" target="_blank">По данным</a> «Лаборатории Касперского», программа распространяется под видом легитимных перуанских приложений и обманом заставляет пользователей предоставить расширенные права через сервисы специальных возможностей Android. Получив такие привилегии, Zanubis получает возможность перехватывать данные, осуществлять кейлоггинг, управлять устройством удалённо и незаметно выполнять команды оператора.<br/>
<br/>
С момента <a href="https://www.entdark.net/2022/09/zanubis-latam-banking-trojan.html" target="_blank">первого обнаружения</a> в августе 2022 года, когда Zanubis маскировался под просмотрщик PDF-файлов, его функциональность существенно возросла. Уже тогда вредоносное ПО успешно атаковало более сорока приложений финансового сектора в Перу с помощью оверлей-экранов, подменяющих интерфейс банковских программ и выманивающих данные для входа.<br/>
<br/>
В 2023 году угрозу заметили в образе официального приложения перуанской налоговой службы SU <a href="https://global.ptsecurity.com/products/network-attack-discovery" target="_blank">NAT </a>. Злоумышленники применили инструменты запутывания кода, включая Obfuscapk, чтобы затруднить анализ вредоносной программы. Дополнительно добавили RC4-шифрование для связи с командным сервером, а также поддельные обучающие веб-страницы, убеждающие пользователя в необходимости включить подозрительные разрешения.<br/>
<br/>
К 2024 году у Zanubis появились новые приёмы скрытности. Было внедрено шифрование AES в режиме ECB, расшифровка строк в реальном времени с помощью ключей на базе PBKDF2, а также возможность перехватывать данные, вводимые на экране блокировки. Одновременно появился инструмент записи экрана и модуль для подделки системных обновлений, блокирующих доступ к устройству, пока в фоновом режиме выполняются вредоносные операции.<br/>
<br/>
Последнее обновление в 2025 году сделало вирус ещё опаснее. Теперь он использует класс PackageInstaller для «тихой» установки приложений без ведома пользователя. Главная цель — кража данных у банков, энергетических компаний и других структур, значимых для экономики Перу. Для этого применяются специально подготовленные «документы» — поддельные счета и инструкции якобы от финансовых консультантов.<br/>
<br/>
По данным «Лаборатории Касперского», злоумышленники демонстрируют глубокое знание региональных реалий и свободно используют латиноамериканский испанский, что позволяет предположить их местное происхождение. Все признаки указывают на целенаправленную деятельность по максимизации объёмов украденных данных при минимальной вероятности обнаружения.<br/>
<br/>
Zanubis продолжает развиваться как пример живучей и опасной киберугрозы, подчёркивая важность регулярного повышения цифровой гигиены среди пользователей и компаний. Противодействие подобным <a href="https://www.ptsecurity.com/ru-ru/research/analytics/tehnologii-na-hajpe-ugrozy-vs-zashhita/" target="_blank">угрозам </a>требует не только технических мер, но и постоянной настороженности к любым попыткам социальной инженерии.<br/>
<br/>
<a href="https://www.securitylab.ru/news/559844.php" target="_blank">@ SecurityLab </a>
</div>