28 de mayo 2025
Zanubis es un troyano bancario sofisticado que rápidamente se posicionó entre las amenazas
más activas en la región y principalmente en Perú. A lo largo del tiempo, ha evolucionado en sus
técnicas y capacidades, incorporando nuevos métodos de distribución para alcanzar más
víctimas, mejoras operativas orientadas a maximizar ganancias y mecanismos avanzados para
evadir productos de seguridad. En 2025, detectamos una nueva campaña asociada a esta
amenaza.
Desde 2020, las estafas financieras se han concentrado en los troyanos de acceso remoto (RATs),
también conocidos como ataques de 'mano fantasma'. Este tipo de malware permite a los
ciberdelincuentes controlar el dispositivo de la víctima y realizar fraudes bancarios, eludiendo así las
defensas de la banca móvil. Este modelo de cibercrimen estuvo dominado por los troyanos brasileños,
como Ghimob que era el más activo en Perú - hasta la aparición de Zanubis en 2022. Desde su
aparición, esta amenaza ha evolucionado constantemente, convirtiéndose en una de las estafas más
sofisticadas en la región.
El vector de infección de este troyano se apoya fuertemente en la ingeniería social. A través de
campañas de phishing, los atacantes engañan a las víctimas para que descarguen aplicaciones
maliciosas que imitan a entidades legítimas. Si bien el método principal —la instalación de apps fuera de
tiendas oficiales— se mantiene, ha sido adaptado con el tiempo. En sus primeras variantes, Zanubis se
presentaba como aplicaciones que suplantaban a la SUNAT (Superintendencia Nacional de Aduanas y
de Administración Tributaria). Desde inicios de 2025, los expertos de Kasperky han identificado una
nueva campaña que distribuye dos aplicaciones falsas: una suplantando a una empresa de energía, y
otra, a una institución financiera. Esta expansión en los canales de distribución refleja un enfoque claro
del grupo: aumentar su alcance y maximizar los beneficios obtenidos mediante el fraude.
Al momento que el usuario descarga la app falsa, el malware verifica si es la primera vez que se ejecuta
en el dispositivo y solicita habilitar los permisos de Accesibilidad del teléfono. Esta etapa es esencial,
pues sin estos permisos, Zanubis no podría llevar a cabo el fraude sobre las apps bancarias. Es
importante señalar que esta función está presente en todos los dispositivos Android, pues su objetivo es
ayudar a personas con alguna discapacidad a configurar el teléfono con tecnologías de asistencia.
El malware opera como un troyano bancario basado en superposición. Aprovechando los permisos de
accesibilidad, Zanubis puede ejecutarse en segundo plano sin llamar la atención, atento a qué
aplicaciones se encuentran activas en el dispositivo. Cuando detecta que se ha abierto una aplicación
incluida dentro de sus objetivos, superpone una imagen generada de antemano que se encuentra
diseñada para imitar la interfaz legítima. Esta superposición captura las credenciales del usuario a
medida que se ingresa, robando la información confidencial sin levantar sospechas para la ejecución
posterior de transacciones.
Con el tiempo, los delincuentes responsables del malware buscaron diversificar sus operaciones. En la
versión identificada por los especialistas de Kaspersky en 2024, se detectaron 14 organizaciones
adicionales en el código fuente respecto a la versión del año anterior. Este aumento reflejaba la intención
del grupo de expandir su alcance hacia proveedores de tarjetas virtuales, así como billeteras digitales y
de criptomonedas.
No obstante, en la versión más reciente del malware, detectada en 2025, se observó un cambio
significativo: los objetivos se redujeron a solo 16 instituciones bancarias, muy por debajo de la lista inicial
que incluía 40 compañías. Según la interpretación preliminar de los expertos de Kaspersky, este ajuste
responde a una estrategia orientada a mejorar la eficiencia operativa y maximizar las ganancias.
El mayor enfoque de ataques se ve reflejado en las detecciones de Zanubis por parte de Kaspersky en
los últimos años. Considerando los primeros cinco meses de cada año, la compañía bloqueó 156
intentos en 2023, 565 en 2024 y 372 este año, respectivamente. La actividad del grupo en 2025 es un
34% menor respecto al año anterior – caída responsable de la reducción del número de blancos de
ataques – pero sigue siendo un 138% superior a la de 2023, datos que refuerzan la interpretación de la
maximización de ganancias.
0
50
100
150
200
250
300
350
Detecciones de Zabunis en los últimos 3 años
La investigación de Kaspersky también mostró que las funcionalidades del troyano han mejorado en los
últimos 2 años. Entre las mejoras más importantes se destacan la adopción del robo de SMS y del robo
de credenciales del celular (desbloqueo de pantalla) para poder eludir la autenticación en dos pasos o
confirmar operaciones bancarias. Otra evolución se dio en las técnicas de ofuscación y cifrado en el
código fuente, lo que dificulta el análisis y la detección de la amenaza por soluciones de seguridad y
demuestra cómo Zanubis se está volviendo cada vez más sofisticado.
“Esta sofisticación que presenta Zanubis es un reto para las empresas y una señal de alerta para los
usuarios quienes deben estar informados y usar soluciones de seguridad eficientes. Actualmente este
malware que ataca al sistema financiero peruano está en el top10 troyanos móviles bloqueados en Perú
por las tecnologías de Kaspersky. Además, son sus nuevas características las que evidencian una
evolución significativa ya que sus objetivos son más precisos y han tomado medidas para que su
detección y análisis sea complejo” indicó Leandro Cuozzo, analista de seguridad de Kaspersky para
América Latina.
Kaspersky comparte algunas recomendaciones para reducir el riesgo de infección:
Instalar aplicaciones de fuentes confiables, idealmente desde las tiendas de aplicaciones oficiales;
Verificar los permisos solicitados por la aplicación: si no corresponden con la tarea de la aplicación
(por ejemplo, un lector solicita acceder a los mensajes y llamadas del usuario), esto puede ser una
señal de que se trata de una aplicación poco confiable;
Usar una solución de seguridad robusta que le proteja contra software malicioso y sus acciones.
Kaspersky Premium puede ayudarle a evitar esas situaciones desagradables;
No hacer clic en enlaces incluidos en correos electrónicos, redes sociales o mensajes SMS no
deseados;
No realizar el procedimiento de rooting del dispositivo que proporcionará a los ciberdelincuentes
posibilidades ilimitadas.
Para más información sobre Zanubis y leer el reporte de crimeware de Kaspersky, visite
Securelist.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones dispositivos
protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la profunda experiencia en inteligencia de
amenazas y seguridad de Kaspersky se está continuamente transformando en innovadoras soluciones y servicios de seguridad
para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portafolio de
productos de seguridad de la empresa incluye su reputada solución de protección para endpoints, junto con una serie de
soluciones y servicios de seguridad especializados, así como soluciones Cyber Immune para combatir las sofisticadas y
cambiantes amenazas digitales. Ayudamos a más de 200.000 clientes corporativos a proteger lo que más valoran. Obtenga más
información en https://latam.kaspersky.com
Kaspersky en redes sociales:
X: @KasperskyLatino IG: Kaspersky Latinoamérica
FB: KasperskyLabLatam IN: Kaspersky Lab Latinoamérica
