روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  بدافزار Zanubis نوعی تروجان بانکی برای سیستم‌عامل اندروید است که نخستین بار اواسط سال ۲۰۲۲ شناسایی شد. این بدافزار در ابتدا بانک‌ها و نهادهای مالی کشور پرو را هدف قرار می‌داد، اما در ادامه دامنه فعالیت‌های خود را به کارت‌های مجازی و کیف‌پول‌های رمزارزی نیز گسترش داد. مهم‌ترین روش انتشار Zanubis، جعل اپلیکیشن‌های قانونی اندرویدی در کشور پرو است. پس از نصب، بدافزار کاربران را فریب می‌دهد تا مجوزهای دسترسی  را فعال کنند. با فعال‌سازی این مجوزها، بدافزار به سطحی از دسترسی دست می‌یابد که امکان سرقت اطلاعات بانکی، جمع‌آوری داده‌های حساس و کنترل کامل دستگاه از راه دور را برای عاملان تهدید فراهم می‌کند – آن هم بدون اطلاع کاربر.

Zanubis  همینطور دارد گسترش می‌یابد و نمونه‌های جدیدی از آن شناسایی شده‌اند که قابلیت‌های گسترده‌تری در زمینه سرقت داده و کنترل از راه دور ارائه می‌دهند. همچنین، روش‌های جدید رمزگذاری، پنهان‌سازی کد و تکنیک‌های فریبکارانه‌تری به کار گرفته می‌شود. دست‌های پشت پرده این بدافزار به‌طور پیوسته در حال بهینه‌سازی کد آن هستند – از افزودن ویژگی‌های جدید و تغییر الگوریتم‌های رمزنگاری گرفته تا تغییر اهداف و اصلاح تکنیک‌های مهندسی اجتماعی به‌منظور افزایش نرخ آلودگی. این به‌روزرسانی‌ها اغلب هم‌زمان با کمپین‌های هدفمند انجام می‌شوند که نشان‌دهنده رویکردی هدفمند برای حفظ اثربخشی و پویایی بدافزار است. برای درک بهتر اینکه این تروجان چگونه به وضعیت کنونی خود رسیده، باید نگاهی به گذشته و نخستین نشانه‌های فعالیت آن بیندازیم. در این مقاله، سیر تحول Zanubis را از آغاز تا به امروز بررسی خواهیم کرد.

۲۰۲۲: از ناشناخته تا تهدید

بدافزار Zanubis نخستین بار در حدود ماه اوت سال ۲۰۲۲ در فضای واقعی مشاهده شد. تمرکز اولیه آن بر کاربران نهادهای مالی و صرافی‌های رمزارزی در کشور پرو بود. در زمان کشف، این بدافزار از طریق اپلیکیشن‌هایی منتشر می‌شد که خود را به‌عنوان یک خواننده فایل PDF معرفی می‌کردند و با سوء‌استفاده از لوگوی یک برنامه معتبر، تلاش داشتند خود را قانونی جلوه دهند و قربانی را به نصب آن ترغیب کنند.

در مراحل ابتدایی، Zanubis  از رویکردی بسیار ساده‌تر و محدودتر نسبت به نسخه‌های بعدی خود استفاده می‌کرد. بدافزار با مراجعه به یک آدرس ثابت در سرویس  Pastebin، پیکربندی خود و فهرست بسته‌های اپلیکیشن‌های هدف را دریافت می‌کرد. این داده‌ها معمولاً در قالب XML یا HTML ارائه می‌شد و توسط بدافزار تجزیه می‌شدند. با اجرای اولیه، Zanubis   اقدام به جمع‌آوری اطلاعات کلیدی از دستگاه آلوده می‌کرد. این اطلاعات شامل فهرست مخاطبین، فهرست اپلیکیشن‌های نصب‌شده و شناسه‌های مختلف دستگاه نظیر برند، مدل و اثر انگشت سخت‌افزاری می‌شد. همچنین، بدافزار بررسی‌هایی انجام می‌داد تا مشخص کند آیا دستگاه متعلق به برندهای موتورولا، سامسونگ یا هواوی است، که این مسئله نشان از احتمال هدف‌گیری خاص بر اساس برند دستگاه دارد.

یکی دیگر از اقدامات اولیه این بدافزار، تلاش برای شناسایی و دور زدن تنظیمات بهینه‌سازی باتری بود. هدف از این کار، جلوگیری از محدود شدن عملکرد بدافزار در پس‌زمینه بود. کلیه اطلاعات جمع‌آوری‌شده به‌شکل ساختاریافته از طریق پروتکل WebSocket به یک سرور راه دور منتقل می‌شد. بدین منظور، یک آدرس URL از پیش تعریف‌شده در کد بدافزار تعبیه شده بود که از طریق آن ارتباط با سرور فرمان‌دهی و کنترل (C2) برقرار می‌شد و مجموعه محدودی از دستورات نیز از این سرور دریافت می‌شد. آن زمان، Zanubis  به‌عنوان یک تروجان بانکی مبتنی بر overlay عمل می‌کرد و با سوءاستفاده از خدمات دسترسی اندروید، به فعالیت پنهانی در پس‌زمینه می‌پرداخت. با استفاده از این مجوزها، بدافزار قادر بود فعالیت اپلیکیشن‌های فعال روی دستگاه را پایش کند. به‌محض شناسایی اجرای یکی از برنامه‌های هدف، یک لایه جعلی از پیش طراحی‌شده روی صفحه نمایش داده می‌شد که کاملاً شبیه رابط کاربری اصلی آن برنامه بود. این لایه جعلی اطلاعات واردشده توسط کاربر – به‌ویژه نام کاربری و رمز عبور – را ثبت و به سرور مهاجم ارسال می‌کرد، بدون آن‌که کاربر متوجه شود.

در این دوره، Zanubis  حدود ۴۰ اپلیکیشن بانکی و مالی فعال در پرو را هدف قرار داده بود. بدافزار فهرستی از نام بسته‌های این اپلیکیشن‌ها را در خود ذخیره داشت و از این لیست برای فعال‌سازی حملات overlay استفاده می‌کرد. این شیوه هدف‌گیری، گویای یک کمپین متمرکز با هدف سرقت اطلاعات کاربران خدمات مالی بود. در آن مقطع زمانی، به‌نظر می‌رسید که بدافزار همچنان در حال توسعه فعال است؛ چرا که هیچ‌گونه مبهم‌سازیدر کد آن اعمال نشده بود و نسخه‌های کشف‌شده به‌طور کامل قابل خواندن و تجزیه‌وتحلیل بودند. همچنین، توابع مربوط به باگ‌یابی  در بسیاری از نمونه‌های یافت‌شده هنوز فعال باقی مانده بودند.

۲۰۲۳:  ارتقاء چندمنظوره

در ماه آوریل ۲۰۲۳، کمپین جدیدی شناسایی شد که نسخه‌ای بازطراحی‌شده از بدافزار Zanubisرا به‌کار می‌گرفت. در این مرحله، بسته‌ی مخرب خود را به‌جای اپلیکیشن رسمی اندرویدی SUNAT (سازمان ملی مالیات و گمرک پرو) جا می‌زد. این نسخه، هم نام و هم آیکون اپلیکیشن اصلی را کپی کرده بود تا برای کاربران ناآگاه کاملاً معتبر و قانونی به‌نظر برسد.

تغییر جهت به‌سوی مبهم‌سازی

بر خلاف نسخه‌های اولیه، این نسخه‌ جدید از Zanubis تغییرات چشم‌گیری در زمینه‌ی مخفی‌کاری داشت. کد آن به‌طور کامل مبهم‌سازیشده بود که تجزیه‌وتحلیل دستی و شناسایی آن را دشوارتر می‌کرد. پس از دِکامپایل، مشخص شد که عاملان تهدید برای پیچیده‌تر کردن تحلیل بدافزار از ابزار Obfuscapk استفاده کرده‌اند؛ چارچوبی شناخته‌شده برای مبهم‌سازی فایل‌های APK در اندروید.

Obfuscapkترکیبی از تکنیک‌های مختلف از جمله «ابهام‌سازها»  و «گیج‌کننده‌ها»را به‌کار می‌گیرد. این تکنیک‌ها از اقدامات ساده‌ای مانند تغییر نام کلاس‌ها، افزودن کد اضافی، و بازنویسی امضاهای متدها آغاز می‌شوند و تا روش‌های پیچیده‌تری مانند رمزگذاری RC4 برای کدها و مبهم‌سازی جریان کنترلی ادامه دارند. هدف اصلی از این کار، جلوگیری از مهندسی معکوس و تحلیل‌های ایستا و پویا، و در نتیجه ایجاد فرصت بیشتر برای اجرای کمپین‌ها بدون شناسایی بود. پس از نصب و اجرا، بدافزار اجزای داخلی خود را راه‌اندازی می‌کرد، از جمله کلاس‌ها، توابع، و شیء SharedPreferences که برای عملکرد تروجان حیاتی هستند. این شیء معمولاً اطلاعات پیکربندی حساس مانند آدرس‌های سرور فرمان‌دهی (C2)، کلیدهای رمزنگاری، نقاط پایانی API و شماره پورت‌های ارتباطی را در خود نگه می‌دارد.

ترفندهای فریبکارانه

در تمام نسخه‌های Zanubis، یکی از مراحل کلیدی در مسیر اجرای بدافزار، کسب مجوزهای سرویس دسترسیبوده است؛ مجوزهایی حیاتی برای حملات overlay و پایش فعالیت‌ها در پس‌زمینه. بدافزار بررسی می‌کند که آیا برای نخستین‌بار اجرا شده و آیا این مجوزها صادر شده‌اند یا خیر. در صورت عدم وجود مجوز، از تکنیکی فریبکارانه برای ترغیب کاربر به فعال‌سازی آن‌ها استفاده می‌کند – روشی که در هر نسخه متفاوت است. در نسخه سال ۲۰۲۳، بدافزار از طریق WebViewیک صفحه وب جعلی آموزشی را به کاربر نمایش می‌داد و مدعی می‌شد برای مشاهده یک سند، نیاز به اعطای مجوزهای اضافی وجود دارد – ادعایی که با توجه به ظاهر قانونی برنامه، منطقی به‌نظر می‌رسید. در این صفحه، دکمه‌ای با عنوان «Ir a Accesibilidad» (به‌معنای «رفتن به بخش دسترسی») به‌صورت برجسته نمایش داده می‌شد. با کلیک روی این دکمه، کاربر یا به‌طور مستقیم به بخش تنظیمات Accessibility در سیستم هدایت می‌شد یا بسته به مدل دستگاه، به پنل مخصوص فعال‌سازی مجوزها برای اپلیکیشن مخرب منتقل می‌گردید.

این ترفند به‌شدت متکی بر مهندسی اجتماعی است؛ با تکیه بر ظاهر قابل‌اعتماد برنامه و عدم آگاهی کاربران از سیستم مجوزدهی اندروید. به‌محض دریافت مجوزهای Accessibility، بدافزار به‌صورت پنهانی تنظیمات بیشتری را فعال می‌کند تا از بهینه‌سازی باتری عبور کند و بتواند به‌طور دائمی در پس‌زمینه فعال باقی بماند؛ آماده برای اجرای عملکردهای مخرب، بدون نیاز به دخالت کاربر. با تثبیت دسترسی در پس‌زمینه، بدافزار یک وب‌سایت رسمی متعلق به SUNAT -که کاربران واقعی برای بررسی بدهی‌ها و اطلاعات مالیاتی از آن استفاده می‌کنند – را در یک WebViewبارگذاری می‌کند. این ترفند، باعث تقویت ظاهر قانونی برنامه شده و از بروز هرگونه تردید جلوگیری می‌کند. اپلیکیشن در ظاهر، بخشی از خدمات واقعی و رسمی SUNAT را ارائه می‌دهد، در حالی که در پس‌زمینه، فعالیت‌های مخرب خود را بی‌وقفه ادامه می‌دهد.

جمع‌آوری اطلاعات

همانند نسخه‌های قبلی، بدافزار با جمع‌آوری اطلاعات اولیه از دستگاه شروع می‌کند و سپس با سرور فرمان‌دهی (C2)  ارتباط برقرار کرده و در انتظار دریافت دستورات بعدی می‌ماند. ارتباط با API سرور C2 با استفاده از رمزنگاری RC4 و کلید رمزگذاری ثابت، و سپس رمزگذاری ثانویه به روش Base64 انجام می‌شد. پس از تکمیل مرحله اولیه، بدافزار وارد یک حلقه Socket.IO polling می‌شد که در آن، هر ۱۰ ثانیه بررسی می‌کرد آیا رویدادی جدید از سوی سرور صادر شده است یا خیر. با این حال، در این نسخه، فهرست دستورات قابل‌اجرا به‌طور قابل‌توجهی افزایش یافته بود و قابلیت‌های بدافزار را نسبت به نسخه‌های پیشین به‌مراتب گسترده‌تر می‌کرد. زمانی که اپلیکیشن هدف روی دستگاه شناسایی می‌شد، Zanubis  با توجه به تنظیمات فعلی، یکی از دو روش زیر را برای سرقت داده‌های کاربر به‌کار می‌گرفت:

1.      ثبت کلیدها:از طریق ردیابی رویدادهای رابط کاربری مانند لمس صفحه، تغییر تمرکز و ورود متن. این اطلاعات شامل داده‌های حساس نظیر نام کاربری، رمز عبور و سایر اطلاعات شخصی بوده که در حافظه محلی ذخیره می‌شدند و در زمان لازم به سرور فرمان‌دهی ارسال می‌گردیدند.
2.      ضبط صفحه:این روش، تمام فعالیت‌های کاربر درون اپلیکیشن را ضبط و به‌صورت مستقیم همراه با داده‌های تعاملی به سرور ارسال می‌کرد.

ربایش پیامک

یکی از قابلیت‌های جدید و مهم اضافه‌شده در این کمپین، ربایش پیامک‌ها بود – روشی حیاتی برای دور زدن سیستم‌های احراز هویت دو مرحله‌ای (2FA) که بر پایه پیامک عمل می‌کنند. پس از دریافت دستور از سوی سرور C2، Zanubis خود را به‌عنوان اپلیکیشن پیش‌فرض پیامک در دستگاه تنظیم می‌کرد و از طریق دریافت‌کنندهاختصاصی خود، تمامی پیامک‌های دریافتی را رهگیری می‌نمود.

این ویژگی به بدافزار امکان می‌داد به کدهای تأیید ارسال‌شده توسط بانک‌ها و سرویس‌های حساس دیگر دسترسی داشته باشد و حتی آن‌ها را پیش از نمایش به کاربر، حذف کند – بدون اینکه نشانه‌ای از فعالیت آن آشکار شود. تمام این اقدامات، به‌صورت کامل در پس‌زمینه و بدون اطلاع کاربر انجام می‌شدند. حتی در صورت تلاش کاربر برای بازگرداندن اپلیکیشن پیامک پیش‌فرض به حالت اصلی، Zanubis این اقدام را مسدود می‌کرد و کنترل را همچنان در دست می‌گرفت.

به‌روزرسانی‌های جعلی

یکی از مخرب‌ترین و فریبنده‌ترین رفتارهای Zanubis با اجرای رویدادی به نام bloqueoUpdate  آغاز می‌شود؛ قابلیتی که به‌ظاهر یک به‌روزرسانی رسمی سیستم‌عامل اندروید را شبیه‌سازی می‌کند. پس از فعال‌سازی، بدافزار دستگاه را قفل کرده و هرگونه تعامل معمول با آن را غیرممکن می‌سازد، به‌طوری که کاربر عملاً قادر به استفاده از گوشی خود نخواهد بود. هر تلاش برای قفل یا باز کردن صفحه توسط بدافزار شناسایی شده و بلافاصله مجدد قفل می‌شود. پیش از نمایش پوشش جعلی مربوط به به‌روزرسانی، بدافزار ممکن است یک اعلان هشداردهنده ارسال کند که در آن نصب فوری یک به‌روزرسانی مهم اعلام می‌شود و به کاربر توصیه می‌شود از تعامل با دستگاه خودداری کند. این روش به اعتبار سناریوی فریب‌کارانه می‌افزاید و احتمال دخالت کاربر را کاهش می‌دهد.

در پس‌زمینه این به‌روزرسانی جعلی، Zanubis  بدون جلب توجه کاربر به فعالیت‌های مخرب خود ادامه می‌دهد، از جمله:

• حذف برنامه‌ها،
• رهگیری پیامک‌ها،
• تغییر تنظیمات سیستمی،
• و دستکاری مجوزها.

تمامی این اقدامات در سکوت کامل و بدون اطلاع کاربر انجام می‌شوند.

۲۰۲۴:  توسعه مستمر

در طول سال ۲۰۲۴، روند رصد و پایش فعالیت‌های Zanubis ادامه یافت؛ از جمله از طریق پلت‌فرم‌های شخص ثالث. در اوایل ماه مه، نسخه‌های جدیدی از این بدافزار در فضای آنلاین مشاهده شد که بیشتر آن‌ها از کشور پرو در سرویس VirusTotal آپلود شده بودند. این موضوع نشان می‌دهد که توسعه‌دهندگان Zanubis به‌طور فعال در حال آزمایش و افزودن قابلیت‌های جدید به بدافزار هستند – با بیش از ۳۰ نسخه متفاوت که طی مدت کوتاهی منتشر شدند.

رمزگذاری تقویت‌شده

در این نسخه‌های جدید، سازندگان Zanubis روش‌هایی را برای محافظت از رشته‌های هاردکد شدهدر کد بدافزار به‌کار گرفتند تا تحلیل آن را پیچیده‌تر کرده و شناسایی آن را دشوارتر سازند. برای این منظور، آن‌ها از الگوریتم مشتق‌سازی کلید PBKDF2 برای تولید کلیدهایی استفاده کردند که سپس رشته‌ها را با رمزنگاری AES در حالت ECB رمزگذاری و در زمان اجرا رمزگشایی می‌کردند. رمزگذاری تنها محدود به رشته‌ها نبود؛ ارتباط میان بدافزار و سرور فرمان‌دهی (C2) نیز با AES-ECB رمزگذاری می‌شد. برخلاف نسخه‌های قبلی که از رمزگذاری RC4 با کلید ثابت استفاده می‌کردند، این نسخه‌ها برای هر بار ارسال داده، یک کلید ۳۲ بایتی تصادفی تولید می‌کردند تا امنیت ارتباط را بیشتر کنند.

سرقت اطلاعات احراز هویت دستگاه

از جمله قابلیت‌های نگران‌کننده و کلیدی در این نسخه‌های جدید، سرقت اطلاعات ورود و احراز هویت کاربران است. زمانی که بدافزار در پس‌زمینه فعال می‌شود، به‌طور مداوم رویدادهای سیستمی مرتبط با دیگر اپلیکیشن‌ها را پایش می‌کند. اگر تشخیص دهد که فعالیتی در حال انجام است که نیاز به ورود رمز عبور، پین کد یا الگوی قفلدارد، سعی می‌کند نوع روش احراز هویت را شناسایی کرده و ورودی کاربر را ثبت کند.

Zanubis سیگنال‌های خاصی را زیر نظر می‌گیرد که نشان می‌دهند کاربر با صفحه قفل یا ورودی امن در حال تعامل است. در این صورت، حرکات، ورودی‌ها و کاراکترهایی که وارد می‌شوند را ذخیره می‌کند. اگر ورودی نادرست تشخیص داده شود، فرآیند پیگیری مجدد از ابتدا آغاز می‌شود تا فقط داده‌های معتبر ذخیره شوند. در نهایت، پس از تکمیل فرآیند ورود و گذر کاربر از آن مرحله، اطلاعات به‌دست‌آمده به سرور فرمان‌دهی ارسال می‌شود.

گسترش دامنه حمله

نسخه جدید بدافزار Zanubis همچنان برنامه‌های بانکی و مؤسسات مالی فعال در کشور پرو را هدف قرار می‌دهد، اما دامنه خود را فراتر از بانک‌ها گسترش داده است. در این به‌روزرسانی، ۱۴ برنامه هدف جدید به فهرست حمله اضافه شده‌اند؛ از جمله ارائه‌دهندگان کارت‌های مجازی، کیف‌پول‌های دیجیتال، و پلت‌فرم‌های مرتبط با ارزهای دیجیتال. این گسترش باعث افزایش سطح تهدید و افزایش تنوع خدمات مالی آسیب‌پذیر در برابر این بدافزار شده است.

۲۰۲۵: جدیدترین کارزار

اواسط ژانویه سال ۲۰۲۵، نمونه‌های جدیدی از Zanubis شناسایی شد که نشان‌دهنده نسخه‌ای به‌روزشده از این بدافزار بودند. این نسخه‌ها شامل تغییراتی در نحوه توزیع، استراتژی فریب، ساختار کد، دستورات جدید سرور فرمان‌دهی (C2) و بهینه‌سازی در شناسایی اهداف برای سرقت اطلاعات هویتی کاربران می‌شوند.

تاکتیک‌های توزیع جدید

Zanubis در گذشته خود را  اپلیکیشن رسمی سازمان مالیاتی پرو (SUNAT) جا می‌زد، اما در این کارزار جدید، دو نهاد دیگر در پرو مورد سوءاستفاده قرار گرفته‌اند: یک شرکت فعال در حوزه انرژی و یک بانک که پیش‌تر هدف حمله این بدافزار نبود. در مورد شرکت انرژی، فایل‌های آلوده با نام‌هایی مانند رسید پرداخت یا فاکتور  توزیع می‌شوند. این نام‌گذاری‌ها به‌گونه‌ای انتخاب شده‌اند که کاربران تصور کنند در حال مشاهده یا بررسی یک قبض یا صورت‌حساب واقعی هستند. این روش از اعتماد کاربران نسبت به محتوای مالی استفاده می‌کند تا آن‌ها را به نصب برنامه آلوده ترغیب کند.

در سوی دیگر، برای هدف قرار دادن کاربران بانک جدید، سناریویی فریبنده با نقش‌آفرینی یک «مشاور بانکی جعلی» طراحی شده است. کاربران از طریق پیام‌هایی متقاعد می‌شوند که طبق راهنمایی مشاور، باید اپلیکیشنی را نصب کنند. این فایل مخرب نقش دراپریا نصب‌کننده اولیه بدافزار را بازی می‌کند و با تکیه بر زمینه‌های آشنا و معتبر، احتمال نصب موفق توسط کاربر را افزایش می‌دهد.

نصب بی‌صدا

پس از آن‌که کاربر اپلیکیشن جعلی را دانلود و اجرا می‌کند، صفحه‌ای با لوگوی شرکت ظاهر می‌شود که در آن ذکر شده است بررسی‌هایی در حال انجام هستند. در همین حین، فرآیند نصب نهایی بدافزار Zanubis به‌طور مخفیانه در پس‌زمینه آغاز می‌شود. فایل نصب (APK) بدافزار در بخش منابع داخلی اپلیکیشن اولیه (مسیر res/raw/) تعبیه شده است و برای بازیابی آن، دراپراز کلاس PackageInstaller  استفاده می‌کند. این فرآیند کاملاً بدون دخالت کاربر انجام می‌شود؛ هیچ‌گونه هشدار یا پیامی نمایش داده نمی‌شود و هیچ مجوزی از کاربر درخواست نمی‌گردد. با استفاده از PackageInstaller، بدافزار فایل APK را به صورت بی‌صدا روی دستگاه ذخیره کرده و فرایند نصب را به‌طور خودکار و پنهانی به پایان می‌رساند. در پایان، با ارسال یک Intent، اعلام می‌شود که نصب با موفقیت انجام شده است. این تکنیک برای فرار از شناسایی و بررسی دستی کاربران یا ابزارهای امنیتی به‌کار گرفته می‌شود.

تمرکز هدفمندتر

در آخرین نسخه‌های Zanubis، دامنه اهداف مورد حمله به‌شکل قابل توجهی محدودتر شده است و تمرکز اصلی روی بانک‌ها و مؤسسات مالی قرار گرفته است. برخلاف نسخه‌های پیشین که طیف گسترده‌تری از اهداف مانند کیف‌پول‌های رمزارزی را نیز شامل می‌شد، نسخه‌های اخیر عمداً از این اهداف صرف‌نظر کرده‌اند. این تغییر راهبردی حاکی از آن است که عاملان تهدید به‌دنبال تمرکز بیشتر بر منابع باارزش‌تر مانند اطلاعات بانکی و تراکنش‌های مالی هستند. این تغییر باعث می‌شود Zanubis تهدیدی حتی جدی‌تر از قبل تلقی شود، زیرا حالا به‌طور خاص بر سودآورترین حوزه‌ها متمرکز شده است.

عاملان تهدید: چه کسانی پشت ماجرا هستند؟

تحلیل‌های مداوم ما از Zanubis چندین شاخص قوی ارائه می‌دهد که احتمالاً عاملان این بدافزار در کشور پرو فعالیت می‌کنند. از جمله:

• استفاده مستمر از اسپانیاییِ رایج در آمریکای لاتین در کدنویسی؛
• آشنایی عمیق با سازمان‌ها و نهادهای مالی و دولتی پرو؛
• داده‌های تله‌متری به‌دست‌آمده از سیستم‌های ما و گزارش‌های VirusTotal که بارگذاری فایل‌ها را از داخل پرو نشان می‌دهد.

تمرکز منحصراً بر نهادهای پرویی نیز نشان می‌دهد که این عملیات از طرف گروهی بومی و آگاه از ساختار داخلی کشور مدیریت می‌شود. همه این نشانه‌ها گویای یک عملیات سازمان‌یافته است که با هدف سرقت مالی و فریب کاربران محلی طراحی شده است.

نتیجه‌گیری

Zanubis  مسیری طولانی را از تولدش در سال ۲۰۲۲ طی کرده و از یک تروجان ساده بانکی، به یک تهدید پیچیده، چندلایه و دائماً در حال تحول تبدیل شده است. این بدافزار به‌شکل مستمر به‌روزرسانی و تقویت شده و قابلیت‌های جدیدی به آن افزوده شده است. تمرکز آن همچنان بر اهدافی با ارزش بالا باقی مانده – به‌ویژه بانک‌ها و مؤسسات مالی فعال در پرو – که آن را به یکی از خطرناک‌ترین تهدیدهای سایبری منطقه تبدیل می‌کند. از سوی دیگر، رفتار توسعه‌دهندگان این بدافزار نشان می‌دهد که عزم جدی برای تداوم فعالیت‌ها و گسترش حملات دارند. از تغییر مداوم روش‌های توزیع گرفته تا بهینه‌سازی کد و افزایش پنهان‌کاری، همه حاکی از آن است که Zanubis یک تهدید موقتی نیست، بلکه یک تهدید دائمی و قابل جهش است که اهداف مالی مجرمان سایبری را دنبال می‌کند.

در چنین شرایطی، هشیاری کاربران، نهادها و شرکت‌ها ضروری است. با توجه به پویایی فضای تهدیدات سایبری و قابلیت بالای Zanubis در سازگاری با محیط، این بدافزار خطری مستمر باقی می‌ماند که نباید دست‌کم گرفته شود.

شاخص‌های دستکاری

زانوبیس نسخه 2025

81f91f201d861e4da765bae8e708c0d0
fd43666006938b7c77b990b2b4531b9a
8949f492001bb0ca9212f85953a6dcda
45d07497ac7fe550b8b394978652caa9
03c1e2d713c480ec7dc39f9c4fad39ec
660d4eeb022ee1de93b157e2aa8fe1dc
8820ab362b7bae6610363d6657c9f788
323d97c876f173628442ff4d1aaa8c98
b3f0223e99b7b66a71c2e9b3a0574b12
7ae448b067d652f800b0e36b1edea69f
0a922d6347087f3317900628f191d069
0ac15547240ca763a884e15ad3759cf1
1b9c49e531f2ad7b54d40395252cbc20
216edf4fc0e7a40279e79ff4a5faf4f6
5c11e88d1b68a84675af001fd4360068
628b27234e68d44e01ea7a93a39f2ad3
687fdfa9417cfac88b314deb421cd436
6b0d14fb1ddd04ac26fb201651eb5070
79e96f11974f0cd6f5de0e7c7392b679
84bc219286283ca41b7d229f83fd6fdc
90221365f08640ddcab86a9cd38173ce
90279863b305ef951ab344af5246b766
93553897e9e898c0c1e30838325ecfbd
940f3a03661682097a4e7a7990490f61
97003f4dcf81273ae882b6cd1f2839ef
a28d13c6661ca852893b5f2e6a068b55
b33f1a3c8e245f4ffc269e22919d5f76
bcbfec6f1da388ca05ec3be2349f47c7
e9b0bae8a8724a78d57bec24796320c0
fa2b090426691e08b18917d3bbaf87ce

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.