<div id="post_message_795113">

Обнаружена новая версия Android-банкера Zanubis. Троян способен похищать учетные данные от финансовых сервисов, а также данные криптокошельков. Также он обладает функциональностью кейлоггера и делает снимки экрана.<br/>
<br/>
Как <a href="https://securelist.com/evolution-of-zanubis-banking-trojan-for-android/116588/" target="_blank">сообщают </a>аналитики «Лаборатории Касперского», Zanubis имитирует приложения настоящего перуанского банка и энергетической компании, а распространяется под видом выставленных пользователю счетов и инструкции от «банковского консультанта».<br/>
<br/>
Zanubis <a href="https://www.entdark.net/2022/09/zanubis-latam-banking-trojan.html" target="_blank">известен </a>экспертам с 2022 года, и обычно он атакует пользователей финансовых организаций и криптовалютных бирж в Перу. Тогда сообщалось, что троян обманом получает разрешение на доступ к Accessibility Services (службе специальных возможностей) с целью получения полного контроля над устройством.<br/>
<br/>
На заре активности банкер маскировался под финансовые и криптовалютные сервисы на Android, но в 2023 году появилась имитация официального приложения перуанского Национального управления таможенной и налоговой администрации (SUNAT), и<a href="https://xakep.ru/2023/10/03/zanubis-asmcrypt-lumma/" target="_blank"> Zanubis стал более продвинутым</a>.<br/>
<br/>
В своем новом отчете исследователи отмечают, что хотя Zanubis активен в Перу, приманки с фальшивым инструментом для проверки неоплаченных счетов могут применяться и в других регионах.<br/>
<br/>
Потенциальных жертв убеждают скачать Zanubis с помощью социальной инженерии. В случае, когда атакующие притворяются энергетической компанией, они присылают пользователям APK-файлы с названиями, в которых фигурируют слова Boleta («счет») либо Factura («счет-фактура»). Они имитируют приложение для проверки неоплаченных документов.<br/>
<br/>
В сценарии, когда атакующие имитируют общение жертвы с банком, они направляют пользователю зараженный установочный файл, который позиционируется как инструкция от «банковского консультанта».<br/>
<br/>
Как только пользователь загружает и запускает на смартфоне вредоносное приложение, на экране появляется логотип энергетической компании или банка, а также уведомление о некой проверке. Приложение запрашивает доступ к Accessibility Services, поскольку это якобы необходимо для корректной работы.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/516448/evolution-of-zanubis2.jpg"/><br/>
<br/>
Однако на самом деле через специальные возможности Android малварь ворует конфиденциальные данные, так как Zanubis получает доступ к информации, отображаемой на экране и в уведомлениях.<br/>
<br/>
«В коде Zanubis используется латиноамериканский испанский, атакующие хорошо осведомлены о локальных финансовых организациях, поэтому мы можем предположить, что злоумышленники, скорее всего, из Латинской Америки и их цель — данные пользователей из того же региона. Несмотря на это, следить за подобными вредоносными кампаниями крайне важно специалистам по всему миру, чтобы совершенствовать инструменты защиты, ведь злоумышленники могут перенимать техники и легенды друг у друга и использовать их в других регионах», — предупреждает Дмитрий Галов, руководитель Kaspersky GReAT в России.<br/>
<br/>
<a href="https://xakep.ru/2025/06/02/new-zanubis/" target="_blank">@ xakep.ru</a>
</div>