Hay malwares que desaparecen durante algún tiempo, haciendo pensar a los expertos que han sido eliminados, pero vuelven cuando menos se los espera. Algo así es lo que ha ocurrido con Anubis, una vieja amenaza que se empezó a ver por foros de piratería rusos allá por 2016.
Por aquel entonces era compartido como un troyano bancario de código abierto con instrucciones sobre la implementación de su cliente y componentes. Los cibermalos fueron otorgándole más capacidades y completando su código. Así, en 2019 había agregado un módulo de ransomware casi funcional y se logró colar en la tienda Google Play Store mediante aplicaciones móviles falsas.
El año pasado Anubis volvía a asomar la cabeza, acechando a través de campañas de phising de gran escala que se dirigían a 250 apps de compra y banca.
La nueva versión del malware, encontrara por Lookout recientemente, se habría colado nada menos que en 394 aplicaciones y exhibiría unos cuantos nuevos 'poderes'. Esta vez también se ha camuflado en apps de naturaleza financiera.
Este malware de nombre egipcio muestra formularios de inicio de sesión de phishing falsos cuando los usuarios abren apps para plataformas específicas con el fin de robar sus credenciales. Anubis origina una pantalla superpuesta que se muestra sobre la pantalla de inicio de sesión de la aplicación real para que las víctimas piensen que es un formulario de inicio de sesión legítimo cuando, en realidad, las credenciales ingresadas son enviadas a los atacantes.
Un mal bicho con nuevos poderes
Como en sus iteraciones anteriores, este nuevo Anubis también detecta si el dispositivo comprometido tiene habilitado Google Play Protected y envía una alerta de sistema falsa para engañar al usuario con el fin de que este lo desactive. Al desactivarse la herramienta, el malware puede campar a sus anchas por el dispositivo, enviando y recibiendo datos sin ninguna interferencia.
La nueva versión del malware, además, ha adquirido más capacidades. Puede realizar capturas de pantalla, grabar la actividad de la pantalla, escanear el dispositivo en búsqueda de archivos de interés, enviar SMS masivos desde el dispositivo a destinatarios específicos, leer, eliminar y bloquear notificaciones de mensajes SMS, capturar datos GPS y estadísticas del podómetro, eliminar el malware del teléfono o implementar un keylogger para robar credenciales, entre otras cosas.
Por ahora se desconoce quiénes son los actores de amenazas encargados de la distribución de Anubis, ya que han ocultado su rastro de registro de infraestructura C2. Además, se da el caso de que el código de Anubis circula por numerosos foros clandestinos de piratería, es bastante usado y su origen resulta complicado de rastrear.