Zanubis, un sofisticado troyano bancario de origen peruano, se ha convertido en una de las diez ciberamenazas más activas en el país. Desde su aparición en 2022, ha evolucionado para suplantar la identidad de 16 entidades bancarias y empresas energéticas, con el objetivo de robar dinero de usuarios de smartphones Android. Es crucial conocer cómo protegerse de este tipo de cibercrimen.
El troyano Zanubis puede infiltrarse en tu celular sin que lo notes, ejecutándose de forma silenciosa tras la instalación de una aplicación móvil maliciosa. Aunque inicialmente suplantaba a la SUNAT y a más de 40 entidades bancarias, actualmente su enfoque se ha reducido a 16 empresas financieras y energéticas específicas.
El proceso de infección comienza cuando el usuario descarga una aplicación desde enlaces no oficiales, como mensajes de texto o publicaciones en redes sociales, en lugar de hacerlo desde la tienda oficial de Android, Google Play. Una vez instalada, la aplicación falsa puede bloquear el teléfono, la pantalla, acceder a sitios web, grabar la pantalla y muchas otras funciones.
Zanubis es un tipo de troyano de acceso remoto (RAT). A diferencia de otros programas maliciosos, permite a los ciberdelincuentes realizar fraudes bancarios sin intervención directa del usuario, incluso sorteando sistemas de autenticación como el doble factor.
Según Kaspersky, las detecciones de Zanubis aumentaron un 138% en comparación con 2023. Aunque se registró una reducción en 2024, esto se debe a un enfoque más preciso y dirigido hacia sus víctimas.
¿Cómo opera Zanubis en un teléfono infectado?
Leandro Cuozzo, analista de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky, explicó a la agencia Andina que, una vez activo, Zanubis opera de forma encubierta. Aprovecha los permisos que el usuario otorga para ejecutarse en segundo plano y monitorear las aplicaciones financieras que se abren. Al detectar una de estas apps, el troyano despliega una pantalla falsa idéntica a la real, donde las víctimas ingresan sus credenciales, las cuales son interceptadas por los atacantes sin levantar ninguna sospecha.
Además de las técnicas de superposición de pantalla, Zanubis incorpora funcionalidades como el registro de pulsaciones de teclado (keylogging), captura de pantalla y recolección de datos sensibles como PIN o patrones de desbloqueo. Con estas herramientas, los criminales pueden ejecutar fraudes bancarios a gran escala.
Señales de Alerta: ¿Cómo saber si tu celular está infectado?
Una señal clave es que la aplicación falsa suele parecerse mucho a la app legítima de una entidad financiera o empresa de energía, utilizando colores y tipografías similares. Sin embargo, debes sospechar si la aplicación se distribuye a través de plataformas no oficiales como grupos de WhatsApp o Facebook, o mediante mensajes de perfiles no asociados a las empresas.
Otro indicio preocupante es que, al instalarse, estas aplicaciones falsas solicitan permisos de accesibilidad para todo el dispositivo. Las aplicaciones oficiales, en contraste, solo piden acceso a funcionalidades específicas y nunca el control total del teléfono.
Kaspersky ha reportado esta amenaza a la INTERPOL y continúa monitoreando sus campañas. Cuozzo advierte que este software malicioso «ha mejorado en sus técnicas de evasión y encriptación», lo que dificulta su análisis y detección por las soluciones de seguridad tradicionales.
Aunque actualmente su actividad se limita al territorio peruano, el experto advierte que Zanubis tiene la capacidad de replicarse en otros países de América Latina. «Es un malware desarrollado localmente, con un nivel técnico similar al de los troyanos brasileños, considerados los más avanzados de la región», afirma.
Si sospechas que un mensaje es fraudulento o podría ser una estafa, puedes comunicarte por WhatsApp con la División de Estafas de la Policía Nacional del Perú al: +51 980 122 390.
