Un informe de Kaspersky advirtió sobre la evolución del malware Zanubis, una amenaza persistente que se mantiene entre los troyanos móviles más activos en Perú. En 2025, el software malicioso ha reducido el número de instituciones atacadas, pero ha perfeccionado sus métodos para ser más difícil de detectar y más eficaz en el robo de credenciales.
Imagen: Kaspersky
Kaspersky alertó sobre la evolución sostenida del troyano bancario Zanubis, que desde su aparición en 2022 ha escalado posiciones hasta convertirse en una de las amenazas digitales más sofisticadas y activas de América Latina, particularmente en Perú. Su diseño, enfocado en suplantar interfaces bancarias para robar credenciales, ha sido perfeccionado con nuevas técnicas de evasión, mecanismos de fraude y capacidades de control sobre los dispositivos infectados.
Zanubis forma parte de una categoría de amenazas conocida como “mano fantasma”, o troyanos de acceso remoto (RATs), que permiten a los ciberdelincuentes manipular a distancia el teléfono de la víctima sin ser detectados, incluso durante sesiones bancarias. Desde 2020, estos ataques han sido frecuentes en la región, inicialmente liderados por troyanos brasileños como Ghimob. Sin embargo, Zanubis logró posicionarse rápidamente entre los más activos y peligrosos desde que apareció.
Nuevas campañas y métodos de infección
El troyano Zanubis ha centrado su actividad en el uso de ingeniería social para engañar a usuarios, haciéndoles instalar aplicaciones falsas fuera de las tiendas oficiales. En su fase inicial, imitaba apps oficiales de SUNAT en Perú. Más recientemente, se han detectado nuevas variantes que suplantan a empresas de energía e incluso a instituciones financieras, ampliando así el rango de víctimas potenciales.
Una vez instalada, la aplicación solicita permisos de accesibilidad, lo que le otorga control total sobre el dispositivo. Esto permite al malware operar en segundo plano, observar qué aplicaciones están abiertas y superponer pantallas falsas diseñadas para robar credenciales bancarias sin levantar sospechas.
Ajuste de estrategia: menos objetivos, más eficacia
En 2024, Zanubis atacaba hasta 40 entidades financieras, incluyendo bancos, billeteras digitales y proveedores de tarjetas virtuales. Sin embargo, la versión más reciente, detectada en 2025, ha reducido su lista de blancos a 16 instituciones. Según los analistas de Kaspersky, esta reducción no implica un debilitamiento, sino una optimización: al concentrar sus esfuerzos en menos objetivos, el troyano incrementa sus posibilidades de éxito y reduce su exposición a sistemas de detección.
Los datos de Kaspersky confirman este enfoque. En los primeros cinco meses de 2025, se detectaron 372 intentos de infección, un 34% menos que en el mismo periodo de 2024. No obstante, esta cifra sigue siendo un 138% más alta que en 2023, lo que demuestra que la amenaza sigue activa y en expansión.
Mejora técnica y mayor sofisticación
La evolución de Zanubis no se limita a su lista de objetivos. En los últimos dos años ha incorporado capacidades como el robo de SMS y de credenciales de desbloqueo del dispositivo, lo que le permite eludir la autenticación de dos factores. También ha adoptado técnicas de cifrado y ofuscación que dificultan el análisis del código malicioso, haciendo más complejo su combate por parte de los sistemas de seguridad tradicionales.
“Esta sofisticación representa un desafío constante para empresas y usuarios”, explicó Leandro Cuozzo, analista de seguridad de Kaspersky para América Latina. “Las nuevas versiones de Zanubis son más precisas, más evasivas y más peligrosas. Por eso es fundamental mantenerse alerta y adoptar prácticas seguras de uso digital”.
Recomendaciones de seguridad
Kaspersky recomienda a los usuarios no instalar aplicaciones de fuentes desconocidas, evitar hacer clic en enlaces sospechosos recibidos por mensajería o redes sociales, revisar los permisos solicitados por las apps antes de instalarlas, y mantener activas soluciones de seguridad confiables en sus dispositivos.
Además, se recomienda evitar el procedimiento de “rooting” del dispositivo, ya que amplifica los riesgos al eliminar barreras de seguridad internas del sistema operativo.
Zanubis se ha convertido en un caso emblemático de la evolución del cibercrimen en América Latina. Su capacidad de adaptarse, mutar sus técnicas de ataque y persistir en el tiempo obliga a los usuarios a mantenerse informados y a las organizaciones a reforzar sus mecanismos de defensa digital.
El informe completo está disponible en el portal de Kaspersky Securelist.com, donde se ofrece una descripción técnica más detallada y actualizada sobre la evolución del troyano y sus impactos en la región.
