Zanubis es un troyano bancario sofisticado que rápidamente se posicionó entre las amenazas más activas en la región y principalmente en Perú. A lo largo del tiempo, ha evolucionado en sus técnicas y capacidades, incorporando nuevos métodos de distribución para alcanzar más víctimas, mejoras operativas orientadas a maximizar ganancias y mecanismos avanzados para evadir productos de seguridad. En 2025, detectamos una nueva campaña asociada a esta amenaza. Consulta las recomendaciones de nuestros expertos para entender mejor esta amenaza y protegerte.

Desde 2020, las estafas financieras se han concentrado en los troyanos de acceso remoto (RATs), también conocidos como ataques de ‘mano fantasma’. Este tipo de malware permite a los ciberdelincuentes controlar el dispositivo de la víctima y realizar fraudes bancarios, eludiendo así las defensas de la banca móvil. Este modelo de cibercrimen estuvo dominado por los troyanos brasileños, como Ghimob que era el más activo en Perú – hasta la aparición de Zanubis en 2022. Desde su aparición, esta amenaza ha evolucionado constantemente, convirtiéndose en una de las estafas más sofisticadas en la región.

El vector de infección de este troyano se apoya fuertemente en la ingeniería social. A través de campañas de phishing, los atacantes engañan a las víctimas para que descarguen aplicaciones maliciosas que imitan a entidades legítimas. Si bien el método principal —la instalación de apps fuera de tiendas oficiales— se mantiene, ha sido adaptado con el tiempo. En sus primeras variantes, Zanubis se presentaba como aplicaciones que suplantaban a la SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria). Desde inicios de 2025, los expertos de Kasperky han identificado una nueva campaña que distribuye dos aplicaciones falsas: una suplantando a una empresa de energía, y otra, a una institución financiera. Esta expansión en los canales de distribución refleja un enfoque claro del grupo: aumentar su alcance y maximizar los beneficios obtenidos mediante el fraude.

Al momento que el usuario descarga la app falsa, el malware verifica si es la primera vez que se ejecuta en el dispositivo y solicita habilitar los permisos de Accesibilidad del teléfono. Esta etapa es esencial, pues sin estos permisos, Zanubis no podría llevar a cabo el fraude sobre las apps bancarias. Es importante señalar que esta función está presente en todos los dispositivos Android, pues su objetivo es ayudar a personas con alguna discapacidad a configurar el teléfono con tecnologías de asistencia.

El malware opera como un troyano bancario basado en superposición. Aprovechando los permisos de accesibilidad, Zanubis puede ejecutarse en segundo plano sin llamar la atención, atento a qué aplicaciones se encuentran activas en el dispositivo. Cuando detecta que se ha abierto una aplicación incluida dentro de sus objetivos, superpone una imagen generada de antemano que se encuentra diseñada para imitar la interfaz legítima. Esta superposición captura las credenciales del usuario a medida que se ingresa, robando la información confidencial sin levantar sospechas para la ejecución posterior de transacciones.

Con el tiempo, los delincuentes responsables del malware buscaron diversificar sus operaciones. En la versión identificada por los especialistas de Kaspersky en 2024, se detectaron 14 organizaciones adicionales en el código fuente respecto a la versión del año anterior. Este aumento reflejaba la intención del grupo de expandir su alcance hacia proveedores de tarjetas virtuales, así como billeteras digitales y de criptomonedas.

No obstante, en la versión más reciente del malware, detectada en 2025, se observó un cambio significativo: los objetivos se redujeron a solo 16 instituciones bancarias, muy por debajo de la lista inicial que incluía 40 compañías. Según la interpretación preliminar de los expertos de Kaspersky, este ajuste responde a una estrategia orientada a mejorar la eficiencia operativa y maximizar las ganancias.

El mayor enfoque de ataques se ve reflejado en las detecciones de Zanubis por parte de Kaspersky en los últimos años. Considerando los primeros cinco meses de cada año, la compañía bloqueó 156 intentos en 2023, 565 en 2024 y 372 este año, respectivamente. La actividad del grupo en 2025 es un 34% menor respecto al año anterior – caída responsable de la reducción del número de blancos de ataques – pero sigue siendo un 138% superior a la de 2023, datos que refuerzan la interpretación de la maximización de ganancias.

La investigación de Kaspersky también mostró que las funcionalidades del troyano han mejorado en los últimos 2 años. Entre las mejoras más importantes se destacan la adopción del robo de SMS y del robo de credenciales del celular (desbloqueo de pantalla) para poder eludir la autenticación en dos pasos o confirmar operaciones bancarias. Otra evolución se dio en las técnicas de ofuscación y cifrado en el código fuente, lo que dificulta el análisis y la detección de la amenaza por soluciones de seguridad y demuestra cómo Zanubis se está volviendo cada vez más sofisticado.

“Esta sofisticación que presenta Zanubis es un reto para las empresas y una señal de alerta para los usuarios quienes deben estar informados y usar soluciones de seguridad eficientes. Actualmente este malware que ataca al sistema financiero peruano está en el top10 troyanos móviles bloqueados en Perú por las tecnologías de Kaspersky. Además, son sus nuevas características las que evidencian una evolución significativa ya que sus objetivos son más precisos y han tomado medidas para que su detección y análisis sea complejo” indicó Leandro Cuozzo, analista de seguridad de Kaspersky para América Latina.

Kaspersky comparte algunas recomendaciones para reducir el riesgo de infección:

• Instalar aplicaciones de fuentes confiables, idealmente desde las tiendas de aplicaciones oficiales;
• Verificar los permisos solicitados por la aplicación: si no corresponden con la tarea de la aplicación (por ejemplo, un lector solicita acceder a los mensajes y llamadas del usuario), esto puede ser una señal de que se trata de una aplicación poco confiable;
• Usar una solución de seguridad robusta que le proteja contra software malicioso y sus acciones. Kaspersky Premium puede ayudarle a evitar esas situaciones desagradables;
• No hacer clic en enlaces incluidos en correos electrónicos, redes sociales o mensajes SMS no deseados;
• No realizar el procedimiento de rooting del dispositivo que proporcionará a los ciberdelincuentes posibilidades ilimitadas.