Troyano peruano Zanubis se esconde en falsas aplicaciones de bancos para robar dinero

Kaspersky detecta el troyano bancario avanzado Zanubis, de origen peruano, que tiene en la mira a 16 apps financieras.

Kaspersky detecta el troyano bancario avanzado Zanubis, de origen peruano, que tiene en la mira a 16 apps financieras.

07:00 | Lima, may. 28

Por Sofía Pichihua

Zanubis, el troyano bancario en Perú que se encuentra entre las diez amenazas más activas del país, ha evolucionado significativamente desde su aparición en 2022. Actualmente, suplanta la identidad de 16 entidades bancarias y empresas del sector energético para robar dinero de los usuarios con smartphones que cuentan con el sistema operativo Android. Conoce cómo evitar ser víctima del cibercrimen.

El troyano bancario peruano Zanubis podría estar en tu celular sin que te des cuenta ya que se ejecuta silenciosamente luego de haber instalado una aplicación móvil. Solía suplantar la identidad de la Sunat, además de otras 40 entidades bancarias, pero -a la fecha- son 16 empresas del sector financiero y energético las afectadas.

Todo comienza cuando el usuario descarga la aplicación sin prestar atención en la procedencia, es decir, desde enlaces que llegan por mensaje, que ve en redes sociales y no desde la tienda oficial de Android, Google Play.  La app falsa puede bloquear el teléfono y la pantalla, acceder a sitios web, grabar la pantalla y más.


Zanubis pertenece a la familia de troyanos de acceso remoto (RAT). A diferencia de otros malware convencionales, este permite a los ciberdelincuentes realizar fraudes bancarios sin intervención del usuario, eludiendo sistemas de autenticación como el doble factor.

Según Kaspersky, las detecciones del troyano aumentaron 138% en comparación con 2023, aunque se redujeron respecto a 2024, debido a un enfoque más preciso en las víctimas.

¿Cómo funciona Zanubis en un teléfono infectado?

 Leandro Cuozzo, analista de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky,  explicó a la agencia Andina que, una vez activo, Zanubis actúa de forma encubierta. Aprovecha los permisos otorgados para ejecutarse en segundo plano y monitorear las aplicaciones financieras que el usuario abre. Al detectar una de estas apps, despliega una pantalla falsa —idéntica a la real— donde las víctimas ingresan sus credenciales, que son interceptadas por los atacantes sin levantar sospechas.

Además de las técnicas de superposición, Zanubis incorpora funciones como keylogging, captura de pantalla y recopilación de datos sensibles como PIN o patrón de desbloqueo. Con estas herramientas, los criminales pueden ejecutar fraudes bancarios a gran escala.


¿Cómo saber si mi celular ha sido infectado por el troyano Zanubis?

En principio, la aplicación falsa suele "verse" como la app legítima de una entidad financiera o empresas de energía, incluyendo colores o tipología. Sin embargo, el usuario puede sospechar si es que la app se distribuye por plataformas no oficiales como los grupos de WhatsApp o de Facebook, así como mensajes de perfiles no oficiales ni asociados a las empresas financieras. 

Al instalarse, las aplicaciones falsas exigen autorizar permisos de accesibilidad de todo el dispositivo, lo que resulta preocupante porque las apps oficiales solo solicitan acceso a determinadas funcionalidades, y no al control total.

Kaspersky ha reportado esta amenaza a la INTERPOL y continúa monitoreando sus campañas. No obstante, Cuozzo advierte que este software malicioso “ha mejorado en sus técnicas de evasión y encriptación”, lo que dificulta su análisis y detección por soluciones de seguridad tradicionales.

Aunque su accionar actual se limita a territorio peruano, el experto advierte que Zanubis tiene capacidad de replicarse en otros países de América Latina. “Es un malware desarrollado localmente, con un nivel técnico similar al de los troyanos brasileños, considerados los más avanzados de la región”.

Si sospechas que un mensaje es fraudulento o potencialmente un fraude, comunícate por WhatsApp con la División de Estafas de la Policía: +51 980 122 390.

Revisa más noticias sobre ciencia, tecnología e innovación en la Agencia Andina y escucha historias inspiradoras en Andina Podcast.

Más en Andina: (FIN) SPV

Publicado: 28/5/2025