Новый облик Zanubis: Android-троян притворяется банком и ставит ловушки
Помните троян Zanubis, который появился в 2022 году и тогда казался «очередной малварью для Android»? Сейчас он выглядит совсем иначе. За последние три года он превратился в одну из самых сложных угроз для клиентов банков.
Впервые Zanubis появился на радарах в августе 2022 года. Тогда он маскировался под безобидное Android-приложение (например, PDF-читалку), крал банковские логины через поддельные окна входа и отслеживал активные приложения.
Всё это — благодаря доступу к специальным возможностям операционной системы (Accessibility Settings). Простой, но эффективный способ незаметно украсть данные.
Версия 2023: серьёзный апгрейд
В 2023 году злоумышленники вывели Zanubis на новый уровень. Он начал притворяться официальным приложением перуанской налоговой службы, использовал обфусцированный код (через Obfuscapk), маскировался ещё хитрее и подсовывал пользователю фейковые инструкции «как включить нужные разрешения». На деле — просто давал себе все права.
Помимо кражи логинов, троян умеет:
перехватывать СМС (включая коды 2FA), записывать экран, блокировать попытки отключить себя, и даже симулировать обновление Android, чтобы заблокировать пользователя и делать что хочет в фоне.
Версия 2024: ещё глубже в тень
Весной 2024 года появились новые версии с шифрованием строк (AES + PBKDF2), чтобы затруднить анализ кода. Каналы связи с C2-сервером тоже стали зашифрованными. Добавилась функция кражи ПИН-кодов, паролей и графических ключей — троян отслеживал ввод на экране и передавал данные на сервер.
Список целей расширился: теперь в него входили криптокошельки и виртуальные карты.
Кампания 2025 года: акцент на банки и скрытая установка
В начале 2025 года, по данным специалистов «Лаборатории Касперского», Zanubis начал распространяться под видом приложений энергетической компании и банка. Приманки выглядели как счета и инструкции якобы от сотрудников банка.
Главное нововведение — установка в фоновом режиме без уведомлений. Пользователь видит логотип и сообщение «идёт проверка», а в это время троян сам себя устанавливает.
Кроме того, разработчики сузили круг целей. Из списка убрали криптосервисы, оставив только банки и финансовые учреждения — то есть наиболее «доходную» аудиторию.
Кто за этим стоит
Все признаки указывают на то, что группа разработчиков находится в Перу. Локализованный испанский, ориентация на местные учреждения, заражения в регионе — всё говорит об этом. Это локальная, но хорошо организованная кампания.
Что делать
Zanubis — пример того, как быстро может развиваться мобильная угроза. Он продолжает обновляться, менять маскировку и распространяться новыми способами. Чтобы не попасть в ловушку:
не давайте подозрительным приложениям доступ к сервисам доступности, не устанавливайте APK-файлы из мессенджеров и писем, проверяйте, действительно ли перед вами официальное приложение.
Zanubis — не мимолётный эксперимент, а активная и развивающаяся угроза. Игнорировать её уже нельзя. Kaspersky приводит список индикаторов компрометации (IoC) свежей версии трояна:
81f91f201d861e4da765bae8e708c0d0 fd43666006938b7c77b990b2b4531b9a 8949f492001bb0ca9212f85953a6dcda 45d07497ac7fe550b8b394978652caa9 03c1e2d713c480ec7dc39f9c4fad39ec 660d4eeb022ee1de93b157e2aa8fe1dc 8820ab362b7bae6610363d6657c9f788 323d97c876f173628442ff4d1aaa8c98 b3f0223e99b7b66a71c2e9b3a0574b12 7ae448b067d652f800b0e36b1edea69f 0a922d6347087f3317900628f191d069 0ac15547240ca763a884e15ad3759cf1 1b9c49e531f2ad7b54d40395252cbc20 216edf4fc0e7a40279e79ff4a5faf4f6 5c11e88d1b68a84675af001fd4360068 628b27234e68d44e01ea7a93a39f2ad3 687fdfa9417cfac88b314deb421cd436 6b0d14fb1ddd04ac26fb201651eb5070 79e96f11974f0cd6f5de0e7c7392b679 84bc219286283ca41b7d229f83fd6fdc 90221365f08640ddcab86a9cd38173ce 90279863b305ef951ab344af5246b766 93553897e9e898c0c1e30838325ecfbd 940f3a03661682097a4e7a7990490f61 97003f4dcf81273ae882b6cd1f2839ef a28d13c6661ca852893b5f2e6a068b55 b33f1a3c8e245f4ffc269e22919d5f76 bcbfec6f1da388ca05ec3be2349f47c7 e9b0bae8a8724a78d57bec24796320c0 fa2b090426691e08b18917d3bbaf87ce