Milano, 28 maggio 2025. Il Kaspersky Global Research and Analysis Team (GReAT) ha scoperto una nuova versione del trojan Zanubis, progettato per colpire il mobile banking e attualmente rivolto agli utenti in Perù. Nel 2022, quando Zanubis è stato individuato per la prima volta, imitava i PDF reader o le applicazioni riconducibili a enti governativi peruviani. Oggi, invece, si nasconde sotto forma di due nuove applicazioni: una appartenente a un’azienda locale del settore energetico e l’altra a una banca locale. Attraverso sofisticate tecniche di social engineering, le vittime vengono indotte a scaricare e installare queste app fraudolente, che sottraggono le credenziali bancarie e le chiavi dei portafogli digitali o di criptovalute. Zanubis è inoltre in grado di eseguire attività di keylogging, registrazione dello schermo e altre azioni pericolose. Secondo Kaspersky, l’ultima campagna ha già colpito oltre 130 utenti, mentre il numero complessivo delle vittime rilevate dall’inizio del monitoraggio di questo malware ammonta a circa 1.250.
Sugli smartphone con sistema operativo Android, le applicazioni possono essere installate non solo tramite gli store ufficiali, ma anche attraverso file APK, aggirando così i controlli degli store. Zanubis ha sfruttato proprio questa modalità per infettare i dispositivi delle vittime. Quando si finge un'app dell’azienda energetica, il file APK dannoso viene distribuito con nomi ingannevoli come “Boleta_XXXXXX.apk” (“Bolletta”) o “Factura_XXXX.apk” (“Fattura”). Queste applicazioni si presentano come falsi strumenti per la consultazione delle fatture, invitando l’utente a installarle e inserire i propri dati cliente per controllare eventuali pagamenti mancati. Nel caso dell’imitazione dell’app bancaria, le vittime vengono invece convinte a scaricare il malware da un presunto consulente bancario, che fornisce istruzioni fraudolente per l’installazione dell'app dannosa.
Un falso modulo all'interno dell'app per verificare le fatture
Quando l’utente scarica e avvia uno dei file APK descritti, appare una schermata con il logo della società utilizzato in modo ingannevole, indicando che sono in corso i controlli necessari. L'applicazione chiede all'utente di autorizzare l'accesso, assicurando che sia necessario per il normale funzionamento dell'applicazione.
Screenshot dell'app dannosa che richiede le autorizzazioni di accessibilità
Le autorizzazioni di accessibilità di Android permettono alle app di interagire e controllare vari aspetti dell'interfaccia e delle funzionalità del dispositivo e vengono attivati principalmente per l’assistenza di utenti con disabilità. Una volta che un'app malware ottiene le autorizzazioni di accessibilità, i cybercriminali sono in grado di monitorare e acquisire di nascosto i dati sensibili dell'utente, come password, messaggi e dati bancari, leggendo il contenuto dello schermo e le notifiche. Questo è esattamente quello che succede con il malware Zanubis.
Inoltre, secondo Kaspersky è probabile che gli attori della minaccia Zanubis operino dal Perù visto che nel codice viene spesso utilizzato lo spagnolo latino-americano e gli aggressori dimostrano di conoscere le agenzie bancarie e governative peruviane.
“Zanubis ha mostrato una chiara evoluzione, passando da un semplice trojan bancario a una minaccia altamente sofisticata e multifunzionale. Il suo obiettivo rimane quello di colpire bersagli ad alto valore, in particolare banche e istituzioni finanziarie in Perù. Gli autori dietro Zanubis non danno segni di rallentamento e continuano a perfezionare le loro tattiche, modificando i metodi di distribuzione per garantire che il malware raggiunga nuove vittime ed entri in azione con efficacia. È fondamentale che sia gli utenti privati sia le aziende prestino sempre attenzione, migliorando la propria consapevolezza digitale e adottando soluzioni di sicurezza solide e affidabili per difendersi da minacce di questo tipo”, ha dichiarato Leandro Cuozzo, Security Researcher del Global Research and Analysis Team di Kaspersky.
Per maggiori informazioni, è possibile consultare il report su Securelist.com.
Per proteggersi dalle minacce ai dispositivi mobili, Kaspersky consiglia di:
Scaricare le app solo dagli app store ufficiali per smartphone, come Apple App Store e Google Play, tenendo presente che anche il download di app dagli store ufficiali non è sempre privo di rischi. Kaspersky ha recentemente scoperto SparkCat, il primo malware che ruba gli screenshot per aggirare la sicurezza dell'App Store. Il malware è stato individuato anche su Google Play, con un totale di 20 app infette su entrambe le piattaforme, a dimostrazione del fatto che questi store non sono infallibili al 100%.
Controllare sempre le recensioni delle app, utilizzando solo link provenienti da siti web ufficiali e installando un software di sicurezza affidabile, come Kaspersky Premium, in grado di rilevare e bloccare le attività dannose se un'app si rivela fraudolenta.
Verificare le autorizzazioni delle app utilizzate e valutare attentamente prima di autorizzare un'applicazione, soprattutto quando si tratta di autorizzazioni ad alto rischio come gli Accessibility Services.
Aggiornare il sistema operativo e le applicazioni importanti appena possibile. Molti problemi di sicurezza possono essere risolti installando versioni aggiornate del software.
Global Research & Analysis Team (GReAT)
Fondato nel 2008, il Global Research & Analysis Team (GReAT) è il cuore di Kaspersky e si occupa di scoprire APT, campagne di cyberspionaggio, principali malware, ransomware e strategie criminali clandestine in tutto il mondo. Oggi il GReAT è composto da oltre 40 esperti che lavorano a livello globale, in Europa, Russia, America Latina, Asia e Medio Oriente. Professionisti della sicurezza di grande esperienza che guidano l’azienda nella ricerca e nell'innovazione anti-malware, mettendo a disposizione expertise, passione e curiosità senza precedenti per la ricerca e l'analisi delle minacce informatiche.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di cybersecurity e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti dalle minacce informatiche emergenti e dagli attacchi mirati, la profonda esperienza di Kaspersky in materia di sicurezza e di Threat Intelligence si trasforma costantemente in soluzioni e servizi innovativi per la sicurezza di aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. Il portfolio completo dell’azienda comprende una protezione Endpoint leader, prodotti e servizi di sicurezza specializzati e soluzioni Cyber Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo milioni di persone e oltre 200.000 aziende a proteggere ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
https://t.me/KasperskyItalia
Contatti:Kaspersky@noesis.net
Immediapress è un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall'ente che lo emette. L'Adnkronos e Immediapress non sono responsabili per i contenuti dei comunicati trasmessi
