La “mano fantasma” peruana: Zanubis ha evolucionado, alerta Kaspersky
Zanubis es un troyano bancario sofisticado que rápidamente se posicionó entre las amenazas más activas en Perú. A lo largo del tiempo, ha evolucionado en sus técnicas y capacidades, incorporando nuevos métodos de distribución para alcanzar más víctimas, mejoras operativas orientadas a maximizar ganancias y mecanismos avanzados para evadir productos de seguridad. En 2025, detectamos una nueva campaña asociada a esta amenaza. Consulta las recomendaciones de nuestros expertos para entender mejor esta amenaza y protegerte.
Desde 2020, las estafas financieras se han concentrado en los troyanos de acceso remoto (RATs), también conocidos como ataques de ‘mano fantasma’. Este tipo de malware permite a los ciberdelincuentes controlar el dispositivo de la víctima y realizar fraudes bancarios, eludiendo así las defensas de la banca móvil. Este modelo de cibercrimen estuvo dominado por los troyanos brasileños, como Ghimob que era el más activo en Perú – hasta la aparición de Zanubis en 2022. Desde su aparición, esta amenaza ha evolucionado constantemente, convirtiéndose en una de las estafas más sofisticadas en la región.
El vector de infección de este troyano se apoya fuertemente en la ingeniería social. A través de campañas de phishing, los atacantes engañan a las víctimas para que descarguen aplicaciones maliciosas que imitan a entidades legítimas. Si bien el método principal —la instalación de apps fuera de tiendas oficiales— se mantiene, ha sido adaptado con el tiempo. En sus primeras variantes, Zanubis se presentaba como aplicaciones que suplantaban a la SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria). Desde inicios de 2025, los expertos de Kasperky han identificado una nueva campaña que distribuye dos aplicaciones falsas: una suplantando a una empresa de energía, y otra, a una institución financiera. Esta expansión en los canales de distribución refleja un enfoque claro del grupo: aumentar su alcance y maximizar los beneficios obtenidos mediante el fraude.
Al momento que el usuario descarga la app falsa, el malware verifica si es la primera vez que se ejecuta en el dispositivo y solicita habilitar los permisos de Accesibilidad del teléfono. Esta etapa es esencial, pues sin estos permisos, Zanubis no podría llevar a cabo el fraude sobre las apps bancarias. Es importante señalar que esta función está presente en todos los dispositivos Android, pues su objetivo es ayudar a personas con alguna discapacidad a configurar el teléfono con tecnologías de asistencia.
El malware opera como un troyano bancario basado en superposición. Aprovechando los permisos de accesibilidad, Zanubis puede ejecutarse en segundo plano sin llamar la atención, atento a qué aplicaciones se encuentran activas en el dispositivo. Cuando detecta que se ha abierto una aplicación incluida dentro de sus objetivos, superpone una imagen generada de antemano que se encuentra diseñada para imitar la interfaz legítima. Esta superposición captura las credenciales del usuario a medida que se ingresa, robando la información confidencial sin levantar sospechas para la ejecución posterior de transacciones.
