zanubis - RunkIntel

# Zanubis - Banking Trojan Android Nativo do Peru > **ATIVO | Banking Trojan Android | Peru/LATAM** - Zanubis e um trojan bancario para Android surgido em agosto de 2022, com foco exclusivo em instituicoes financeiras peruanas. Desde sua criação, evoluiu de um simples trojan para uma ameaça sofisticada capaz de SMS hijacking, keylogging, screen recording, roubo de carteiras crypto e simulacao de atualização do sistema operacional que bloqueia o dispositivo da vitima. ## Visão Geral **Zanubis** foi identificado pela primeira vez em agosto de 2022, distribuido disfarado como leitor de PDF com o logotipo de uma aplicação conhecida. Ao longo de 2023 e 2024, evoluiu para impersonar aplicações governamentais peruanas (SUNAT - Superintendencia Nacional de Aduanas y de Administracion Tributaria), empresas de energia e bancos locais. Ate maio de 2025, a Kaspersky detectou **mais de 1.250 vitimas** desde o inicio do monitoramento, com mais de 130 vitimas so na campanha mais recente. A análise de código aponta com alta confiança para **operadores peruanos**: uso de espanhol latino-americano no código, conhecimento detalhado de agencias bancarias e governamentais peruanas, e telemetria do VirusTotal com uploads predominantemente do Peru. | Campo | Detalhe | |-------|---------| | **Tipo** | Banking Trojan Android | | **Plataforma** | Android (APK fora das lojas oficiais) | | **Primeira observacao** | Agosto 2022 | | **Status** | Ativo - novas variantes em 2025 | | **Alvo principal** | 40+ bancos e financeiras no Peru | | **Ofuscação** | Obfuscapk (obfuscador popular para APKs) | | **Fonte primaria** | Kaspersky GReAT (securelist.com) | ## Evolução por Versao ### 2022 - Versao Inicial - Alvejava 40 aplicações bancarias e financeiras no Peru - Distribuido como falso leitor de PDF - Sem ofuscação (amostras totalmente legiveis após decompilacao) - Ataques de overlay: sobreposicao de telas falsas sobre apps bancarios ### 2023 - Upgrade Multirecursos - Impersona o app oficial da **SUNAT** (autoridade fiscal peruana) - Introdução de **SMS hijacking**: assume controle de SMS para interceptar códigos 2FA - Monitora apps abertos e compara com lista de alvos - aciona keylogger ou screen recording quando alvo e detectado - Simulacao de **atualização do Android OS**: bloqueia o dispositivo tornando-o inutilizavel durante a "atualização" falsa ### 2024 - Expansao de Escopo - Adiciona 14 novas aplicações alvejadas (total 54+) - Expande para provedores de cartao virtual e carteiras de criptomoedas e digitais - Novos disfarces: empresa de energia (distribui APKs como "Boleta_XXXXXX.apk" ou "Factura_XXXXXX.apk") e banco nao previamente explorado - Novas táticas de distribuição social: "instale via orientacao do seu assessor bancario" ### 2025 - Estado Atual - Campanha detectada em maio de 2025 com 130+ vitimas novas - Adiciona roubo de chaves de carteiras digitais e crypto - Manutenção do foco exclusivo em Peru (com potencial de expansao) ## Como Funciona A cadeia de infecção do Zanubis e construida inteiramente em torno do **abuso de Accessibility Services** do Android - permissao que concede controle quase total do dispositivo ao app malicioso: ```mermaid graph TB A["📲 Distribuição APK Fora da Play Store Arquivo Boleta / Factura / Banco"] A --> B["🎭 App falso instalado T1444 - Masquerade Logo empresa energia / banco / SUNAT"] B --> C["🔐 Solicitacao Accessibility Justificada como 'necessária' para funcionar corretamente"] C --> D["👁 Monitoramento total Apps abertos / notificacoes Screen overlay ativo"] D --> E["🏦 App bancario aberto Overlay falso exibido T1185 / T1056.001 / T1113"] E --> F["📩 SMS 2FA interceptado T1412 - Capture SMS Zanubis vira SMS app padrao"] F --> G["💸 Credenciais roubadas Acesso a conta bancaria Roubo de crypto / carteira digital"] classDef dist fill:#e74c3c,color:#fff classDef install fill:#e67e22,color:#fff classDef perm fill:#f39c12,color:#fff classDef monitor fill:#3498db,color:#fff classDef steal fill:#9b59b6,color:#fff classDef fraud fill:#2c3e50,color:#fff class A dist class B install class C perm class D monitor class E steal class F steal class G fraud ``` ## Timeline ```mermaid timeline title Zanubis - Linha do Tempo 2022-08 : Primeira detecção - disfarce de leitor PDF 2022-08 : 40 apps bancarios peruanos no crosshair 2023-04 : Nova campanha - impersonando SUNAT 2023 : SMS hijacking adicionado - 2FA comprometido 2023-10 : Kaspersky publica análise detalhada 2024 : 14 novas aplicações alvo - carteiras crypto 2024 : Novos disfarces - empresa energia + banco novo 2025-05 : Kaspersky GReAT reporta mais de 1.250 vitimas totais 2025 : Campanha ativa - 130+ vitimas novas detectadas ``` ## TTPs MITRE ATT&CK (Mobile) | Tática | Técnica | Uso | |--------|---------|-----| | Acesso Inicial | [[t1476-deliver-malicious-app\|T1476]] | Distribuição de APK fora de lojas oficiais | | Evasão | [[t1444-masquerade-as-legitimate-application\|T1444]] | Impersona SUNAT, empresa energia, banco | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging via Accessibility Services | | Coleta | [[t1113-screen-capture\|T1113]] | Screen recording quando app-alvo ativo | | Coleta | [[t1412-capture-sms\|T1412]] | Interceptação de SMS / códigos 2FA | | Coleta | [[t1432-access-contacts\|T1432]] | Acesso a lista de contatos | | Coleta | [[t1185-browser-session-hijacking\|T1185]] | Overlay sobre apps bancarios reais | ## Relevância LATAM e Brasil Zanubis e atualmente o principal banking trojan Android nativo da América Latina. Enquanto seu foco e o Peru, as implicacoes para o Brasil sao relevantes: 1. **Modelo replicavel**: As técnicas - impersonar apps governamentais e bancarios, abusar de Accessibility Services, SMS hijacking - sao identicas as usadas por familias de banking trojans Android no Brasil como [[maxtrilha|Maxtrilha]] e outras variantes do ecossistema brasileiro. 2. **Expansao geografica documentada**: A Kaspersky já identificou vitimas alem do Peru (Bolivia, Colombia). O modelo de distribuição por APK fora da Play Store e extremamente eficaz no Brasil, onde a instalacao de apps de fontes desconhecidas e comum. 3. **Crypto targeting**: Com o Brasil sendo o maior mercado de criptomoedas da América Latina, a expansao do Zanubis para carteiras digitais torna o Brasil um alvo natural para uma hipotetica expansao de escopo. 4. **Conhecimento operacional transferivel**: Grupos criminosos brasileiros podem adotar técnicas e código do Zanubis para criar variantes locais, especialmente o módulo de Accessibility Services abuse e SMS hijacking. ## Detecção - Monitorar instalacao de APKs fora da Google Play Store com nomes de arquivos contendo "Boleta", "Factura", "SUNAT" ou nomes de instituicoes financeiras locais - Alertar sobre apps solicitando permissao de Accessibility Services sem justificativa legitima - Detectar apps definindo-se como aplicativo padrao de SMS em dispositivos corporativos - Implementar MDM com restricao de instalacao de fontes desconhecidas em dispositivos corporativos - Monitorar trafego de rede de dispositivos moveis para conexoes WebSocket com dominios recentemente registrados ## Relacoes - [[guildma|Guildma (Astaroth)]] - banking trojan LATAM Windows analogamente sofisticado para o Brasil - [[mekotio|Mekotio]] - outro banking trojan LATAM Windows com origem sul-americana - [[s0666-flubot|FluBot]] - banking trojan Android que usou técnicas similares de distribuição - [[financial|financeiro]], [[energy|energia]] - setores primariamente atingidos - [[Peru]] - foco principal do malware ## Referências - [1] [Kaspersky Securelist - Evolution of Zanubis Banking Trojan (2025)](https://securelist.com/evolution-of-zanubis-banking-trojan-for-android/116588/) - [2] [Kaspersky Press Release - Mobile malware posing as invoice (2025)](https://www.kaspersky.com/about/press-releases/mobile-malware-posing-as-an-invoice-steals-banking-credentials-from-users) - [3] [The Hacker News - Zanubis Android Banking Trojan Poses as Peruvian Government App (2023)](https://thehackernews.com/2023/10/zanubis-android-banking-trojan-poses-as.html) - [4] [Cyble - Zanubis New Android Banking Trojan](https://cyble.com/blog/zanubis-new-android-banking-trojan/)