Введение
Zanubis — это банковский троянец для Android, впервые замеченный в середине 2022 года. Изначально троянец был нацелен на банки и финансовые организации в Перу, но впоследствии стал использоваться для атак на виртуальные карты и криптовалютные кошельки.Основной способ распространения Zanubis — маскировка под легитимные перуанские Android-приложения с последующим получением доступа к специальным возможностям устройства. Получив подобные разрешения, вредоносное ПО может похищать банковские данные и учетные записи пользователя, а также выполнять удаленные действия и управлять устройством без ведома владельца.
Этот Android-зловред находится в постоянной разработке — в новых образцах появились расширенные функции для эксфильтрации данных и удаленного управления, а также новые методы обфускации и обмана пользователей. Авторы Zanubis продолжают дорабатывать его код: добавляют новые функции, изменяют алгоритмы шифрования, пересматривают цели атак и адаптируют методы социальной инженерии для повышения эффективности заражения. Обновления часто приурочены к запуску очередных кампаний, что свидетельствует о целенаправленном стремлении поддерживать активность зловреда.
Чтобы понять, как этот троянец достиг нынешнего уровня, нужно вернуться к его истокам. В этой статье мы подробно рассмотрим, как развивался этот зловред со временем.
2022 год: первое обнаружение
Zanubis экспертов по ИБ в августе 2022 года. Изначально он нацеливался на финансовые учреждения и пользователей криптовалютных бирж в Перу. На момент обнаружения зловред распространялся через поддельное ПО для просмотра PDF, которое использовало логотип известного приложения, чтобы выглядеть легитимно и убедить жертву установить его.На раннем этапе своего развития Zanubis использовал гораздо более простые и ограниченные методы по сравнению с текущей функциональностью, которую мы рассмотрим позже. Для получения конфигурации и списка целевых приложений зловред обращался к прописанной в коде ссылке на pastebin-ресурс и анализировал размещенные там данные в формате XML или HTML.
При запуске зловред собирал основную информацию с зараженного устройства: список контактов, установленные приложения, а также различные идентифицирующие данные устройства — такие как название производителя, модель и цифровой отпечаток системы. Также троянец выполнял специальные проверки, чтобы определить бренд устройства — Motorola, Samsung или Huawei, что может указывать на адаптацию поведения в зависимости от изготовителя.
Кроме того, зловред пытался получить доступ к настройкам оптимизации энергопотребления, вероятно, чтобы иметь возможность постоянно работать в фоновом режиме без прерываний. Вся собранная информация затем в нужном формате передавалась на удаленный сервер посредством протокола WebSocket. Для этого в коде Zanubis был зашит начальный URL-адрес командного сервера: вредоносное ПО устанавливало с ним соединение, осуществляло эксфильтрацию данных и могло принимать ограниченный набор команд.
Zanubis был нацелен на 40 перуанских банковских и финансовых приложений. Троянец содержал предопределенный список имен пакетов приложений определенных организаций и в соответствии с ним запускал оверлей-атаки. Тогда стратегия злоумышленников была однозначно направлена на компрометацию пользователей финансовых сервисов путем кражи их учетных данных.
На тот момент вредоносное ПО, по всей видимости, находилось в активной стадии разработки — механизмов обфускации кода еще не было, и образцы можно было легко проанализировать после декомпиляции. Кроме того, в изученных образцах все еще присутствовали отладочные функции.
2023 год: новые функции
В апреле 2023 года с переработанной версией троянца Zanubis. На этот раз зловред маскировался под официальное Android-приложение Национального управления таможенной и налоговой администрации Перу (SUNAT). Он копировал как название, так и значок легитимного приложения, чтобы выглядеть подлинным и не вызывать подозрений у пользователей.Обфускация
В отличие от предыдущих версий, в этой модификации был значительно повышен уровень скрытности. Код был полностью обфусцирован, что усложнило его ручной анализ и обнаружение. После декомпиляции стало очевидно, что злоумышленники использовали Obfuscapk — популярный фреймворк для обфускации APK-файлов приложений Android. Obfuscapk полагается на сочетание множества техник, включая различные обфускаторы.Эти методы различаются по уровню сложности — от базовых, таких как переименование классов, добавление мусорного кода и изменение сигнатур методов, до более продвинутых, включая шифрование кода с помощью RC4 и обфускацию потока управления. Цель этих приемов — усложнить обратный инжиниринг и замедлить как статический, так и динамический анализ, чтобы дать операторам зловреда как можно больше времени до обнаружения их кампаний.
Примеры методов обфускации: мусорный код (слева) и переименование (справа)
После установки и запуска зловред начинает подготавливать свои внутренние компоненты, включая различные классы, функции и объект SharedPreferences, который играет ключевую роль в работе троянца. В этом объекте, как правило, хранятся важные конфигурационные данные — такие как URL-адреса командных серверов, ключи шифрования, конечные точки API и коммуникационные порты.
Методы обмана пользователей
Во всех версиях Zanubis ключевым этапом работы зловреда является получение разрешений на использование службы специальных возможностей Android — это необходимое условие для проведения оверлей-атак и фонового мониторинга. Сначала зловред проверяет, запускается ли он впервые и получены ли необходимые разрешения. Если нет, он пытается обманом заставить пользователя их предоставить — методы при этом отличаются в зависимости от версии.В версии 2023 года зловред отображал через WebView поддельную веб-страницу с инструкциями, где утверждалось, что для просмотра документа необходимы дополнительные разрешения, — правдоподобное объяснение, учитывая маскировку под официальное приложение.
На странице размещалась крупная кнопка с надписью Ir a Accesibilidad («Перейти к специальным возможностям»). При нажатии на нее открывались системные настройки специальных возможностей или, если это позволяла модель устройства, сразу панель активации этих функций для вредоносного приложения.
Инструкции, заставляющие пользователя включить специальные возможности
Этот прием основан на социальной инженерии и полагается на убедительность внешнего вида приложения, а также недостаточную осведомленность пользователя о системе разрешений Android. После получения доступа к специальным возможностям зловред незаметно активирует дополнительные параметры, позволяющие обойти механизмы оптимизации энергопотребления. Это обеспечивает его постоянную активность в фоновом режиме и готовность выполнять вредоносные действия без участия пользователя.
Заполучив привилегии для фоновой работы, зловред загружает легитимный сайт SUNAT, который используется для проверки задолженностей и налоговой информации. Отобразив доверенную веб-страницу через компонент WebView, зловред усиливает свою маскировку — он выглядит как часть официальных сервисов SUNAT, при этом может продолжать вредоносную активность в фоновом режиме, не вызывая подозрений.
Сбор данных
Как и в предыдущих версиях, зловред начинал свою работу со сбора информации об устройстве и подключения к командному серверу в ожидании дальнейших инструкций. Связь с API командного сервера шифровалась с помощью алгоритма RC4 с заданным в коде ключом, а затем кодировалась по алгоритму Base64. По окончании инициализации зловред переходил в цикл опроса Socket.IO, проверяя входящие команды с командного сервера с интервалом в 10 секунд. Однако в этой итерации зловреда список доступных команд значительно расширился, что существенно увеличило его возможности по сравнению с предыдущими версиями.При обнаружении запуска целевого приложения на устройстве эта версия Zanubis крала данные пользователя одним из двух методов в зависимости от текущих настроек. Первый метод был основан на кейлоггинге — зловред отслеживал события пользовательского интерфейса, такие как касания, смена фокуса и ввод текста, чтобы перехватывать конфиденциальную информацию, включая учетные и личные данные.
Собранные логи сохранялись локально и передавались на командный сервер по запросу. Zanubis также мог активировать запись экрана и фиксировать все действия пользователя в приложении, а затем отправлять как визуальные данные, так и информацию о событиях напрямую на сервер.
Перехват SMS-сообщений
Еще одним новшеством этой кампании стал перехват SMS-сообщений — функция, критически важная для взлома банковских учетных записей и сервисов с двухфакторной аутентификацией через SMS. Если с командного сервера поступала соответствующая инструкция, Zanubis устанавливал себя в качестве приложения по умолчанию для работы с SMS на устройстве, чтобы перехватывать все входящие сообщения. Благодаря этому зловред получал доступ к кодам подтверждения, отправляемым банками и другими конфиденциальными сервисами, а также мог удалять эти сообщения до того, как пользователь их увидит.Все действия троянца оставались полностью незаметными для пользователя. Даже если жертва пыталась вернуть стандартное приложение для SMS, Zanubis блокировал такую возможность.
Фальшивые обновления
Одним из самых коварных вредоносных приемов Zanubis стало использование события bloqueoUpdate («блокировка для обновления»), имитирующего легитимное обновление системы Android. При активации зловред блокировал устройство, делая его практически полностью непригодным к эксплуатации и не давая пользователю выполнять обычные действия.Перед отображением поддельного экрана обновления троянец мог отправить уведомление с предупреждением о срочном обновлении и рекомендацией не взаимодействовать с устройством. Это усиливало правдоподобие обмана и снижало вероятность вмешательства пользователя.
Во время поддельного обновления Zanubis скрытно продолжал выполнять вредоносные действия в фоновом режиме: удалял приложения, перехватывал SMS, изменял системные настройки и права — все это без ведома пользователя.
Фальшивое обновление, препятствующее использованию телефона
2024 год: развитие зловреда
В течение 2024 года мы продолжали отслеживать активность Zanubis на различных ресурсах, в том числе на сторонних платформах. В начале мая мы зафиксировали новые разновидности зловреда. Его многочисленные варианты были найдены в базе VirusTotal. Более 30 версий троянца были загружены из Перу, что указывает на попытки разработчиков тестировать и внедрять новые функции зловреда.Образцы, загруженные на VirusTotal
Усиленное шифрование
В этих обновленных версиях Zanubis разработчики реализовали механизмы защиты прописанных в коде строк, чтобы усложнить анализ и снизить вероятность обнаружения. Для этого злоумышленники генерировали ключ с помощью PBKDF2, а затем использовали его для шифрования и расшифровки строк в реальном времени с применением алгоритма AES в режиме ECB. Такой подход позволил импланту скрывать критически важные строки от статического анализа и раскрывать их только по необходимости во время выполнения.В новых образцах импланта шифровались не только строки исходного кода. Связь между командным сервером и вредоносным ПО также была защищена AES-шифрованием в режиме ECB (а не RC4, как ранее). В отличие от шифрования строк с использованием прописанного в коде ключа, для передачи данных каждый раз случайным образом генерировался новый 32-байтовый ключ.
Кража учетных данных устройства
Одной из ключевых функций этой версии Zanubis была кража учетных данных устройства. Получив возможность работать в фоновом режиме, зловред постоянно отслеживал системные события, вызываемые другими приложениями. При обнаружении аутентификации с помощью PIN-кода, пароля или графического ключа троянец определял тип используемой защиты и перехватывал соответствующие данные.Зловред отслеживал сигналы, указывающие на взаимодействие пользователя с экраном блокировки или безопасным способом ввода. При их обнаружении вредоносное ПО собирало введенные символы или используемые жесты, однако не сохраняло данные, если они были введены с ошибками. После завершения ввода и перехода пользователя к другим действиям зловред отправлял собранные учетные данные на командный сервер.
Сбор учетных данных устройства с помощью Zanubis
Расширение охвата
Эта версия вредоносного ПО, как и ранее, была нацелена на банковские приложения и финансовые учреждения в Перу, однако охват расширился за счет провайдеров виртуальных карт, а также цифровых и криптовалютных кошельков. В этом обновлении появилось 14 новых целевых приложений, что увеличило масштабы атак и расширило диапазон финансовых сервисов, эксплуатируемых троянцем.2025 год: последняя известная кампания
В середине января 2025 года мы обнаружили образцы, свидетельствующие о появлении обновленной версии Zanubis. В ней изменились методы распространения и тактики обмана пользователя, обновлен код, добавлены новые команды для взаимодействия с командным сервером и улучшена фильтрация целевых приложений для кражи учетных данных.Новые тактики распространения
Ранее Zanubis распространялся, маскируясь под приложение SUNAT, Национального управления таможенной и налоговой администрации Перу. Однако в новой кампании имитируются уже другие организации: компания из энергетического сектора и банк, которые ранее не использовались для этой цели.Троянец маскируется под два легитимных приложения целевых компаний, адаптируясь под функциональность конкретного приложения. Вредоносный APK, связанный с энергетической компанией, распространяется под такими названиями, как Boleta_XXXXXX («счет») или Factura_XXXXXX («накладная»), чтобы убедить пользователя, что ему пришел документ на проверку.
Поддельный экран для верификации накладных
С банком применяется другой подход — жертву обманом заставляют скачать дроппер по указанию поддельного банковского консультанта. Чтобы гарантировать успешную установку, злоумышленники проработали знакомые и вызывающие доверие сценарии.
Указание следовать инструкциям консультанта из поддельного банковского приложения
Скрытая установка
После скачивания и запуска приложения-приманки появляется экран с логотипом компании и сообщением о том, что проводятся обязательные проверки. Тем временем в фоновом режиме дроппер пытается незаметно установить финальную полезную нагрузку — троянец Zanubis, встроенный во внутренние ресурсы самого дроппера (res/raw/). Для извлечения APK он использует класс PackageInstaller.Процесс установки проходит без какого-либо участия пользователя — без всплывающих окон или предупреждений, которые могли бы насторожить жертву. С помощью PackageInstaller зловред сохраняет APK-файл на устройство и автоматически проводит установку незаметно для пользователя. Эта техника позволяет обойти системы обнаружения. После завершения установки отправляется , свидетельствующий об успешной установке пакета.
Уточнение целей
В последней версии зловреда круг целей был значительно сужен и акцент сместился обратно на банки и финансовые учреждения. Злоумышленники отказались от более широкого круга целей, включавшего в том числе криптовалютные кошельки.Пересмотр стратегии свидетельствует о стремлении оптимизировать атаки и сосредоточиться на секторах, оперирующих самой ценной конфиденциальной информацией, такой как банковские учетные данные и данные финансовых транзакций. Сконцентрировавшись на прибыльных целях, киберпреступники сделали троянец еще более опасным.
Кто стоит за этим троянцем?
На основе текущего анализа Zanubis ряд индикаторов указывает на то, что злоумышленники, стоящие за этим троянцем, вероятно, действуют с территории Перу. Об этом свидетельствуют, к примеру, постоянное использование латиноамериканского испанского в коде, знание перуанских банковских и государственных структур, а также данные телеметрии из наших систем и сервиса VirusTotal.Выбор перуанских организаций в качестве целей также говорит в пользу того, что операторы Zanubis, скорее всего, базируются в Перу. Региональные индикаторы в сочетании с продолжающимися кампаниями против финансовых организаций указывают на хорошо продуманную операцию, нацеленную на местные учреждения.
Выводы
Zanubis демонстрирует явную эволюцию — из простого банковского троянца он превратился в высокотехнологичную и многофункциональную угрозу. Его код постоянно дорабатывается и улучшается, появляются новые функции и возможности. Зловред атакует высокоприбыльные цели — в первую очередь банки и финансовые учреждения Перу, что усиливает региональную значимость этой угрозы.Злоумышленники, стоящие за Zanubis, по всей видимости, не планируют сбавлять обороты. Они продолжают внедрять новую функциональность, адаптировать тактики и изменять методы распространения, чтобы доставлять троянец новым жертвам и обеспечивать его незаметную работу. Непрерывные изменения Zanubis свидетельствуют о том, что это не временная, а постоянная и устойчивая угроза. Те, кто за ней стоит, готовы и дальше переписывать зловред для достижения своих финансовых целей.
Поскольку Zanubis продолжает развиваться и адаптироваться, крайне важно, чтобы как пользователи, так и организации сохраняли бдительность. Ландшафт угроз постоянно меняется, а способность этого зловреда эволюционировать и охватывать все новые жертвы делает его постоянной и актуальной проблемой, которую нельзя игнорировать.
