Ginp, malware para Android con bancos españoles como objetivo

El malware Ginp se creó hace solo unos meses y forma parte de una campaña centrada en España. Luego de instalado en el teléfono, detecta las aplicaciones de distintos bancos y sobrepone una pantalla igual a la del banco por encima de la app legítima (este tipo de ataque se llama Overlay y es muy popular en aplicaciones web, pero no móviles).

Primero pide las credenciales para acceder y después la tarjeta, con su fecha de caducidad y el número CVV. El usuario creerá que está usando la app del banco, pero estará dando sus datos a los delincuentes.

Los siete bancos afectados son Caixabank, Bankinter, Bankia, BBVA, EVO Banco, Kutxabank y Santander.
El ataque es sorprendentemente sofisticado para lo que es habitual en bancos españoles. Tanto esmero en la copia de la página es raro en móviles Android y excepcional en malware dirigido a bancos españoles: "Ningún otro malware para empresas españolas se parecía tanto al banco legítimo. Lo más habitual era crear una página estándar y cambiar solo logo y color. Pero Ginp no: emula incluso una página de carga específica que tiene por ejemplo Bankia, incluso con los tiempos de carga de esas aplicaciones", explica Santiago Palomares, analista de malware en Threatfabric, que ha analizado el código de Ginp.

Luego de la infección, los delincuentes tienen dos vías para robar: usar la tarjeta o hacer una transferencia. Si el código de confirmación llega por SMS, la misma app maliciosa puede reenviarlo. "Infectando el teléfono, tienes acceso a los SMS, de modo que si consigues las credenciales y los datos de la tarjeta significa que puedes realizar transacciones en casi cualquier comercio", dice Palomares.

¿Cómo detectar que un móvil está infectado?

Cuando se lanza la app del banco, el efecto de la aparición de la pantalla maliciosa es similar a cuando se pasa de una aplicación a otra en móviles Android. "Si miras entonces en la lista de apps que tienes abiertas ves una sin nombre como la más reciente, abierta después de la del banco", explica Palomares. Overlay consiste en ponerse encima de la app bancaria mediante un permiso de Android. Google ha hecho que cada vez sea más difícil de lograr, pero sigue ocurriendo.

La otra gran pregunta es cómo se instala el código malicioso en el teléfono del usuario. Hay varios caminos básicos:

• A través de un enlace: en el caso de Ginp, la oleada principal ha sido a través de spam con un enlace por SMS. El troyano secuestra luego la lista de contactos y reenvía el enlace a otros usuarios. Tatyana Shishkova, investigadora de Kaspersky, que fue la primera que publicó la existencia de Ginp, puso un ejemplo de uno de esos SMS, con una supuesta actualización de Android 10.
• Este troyano también se distribuye es con anuncios en web en los que salta un pop-up que pide instalar "Adobe Flash Player" en el móvil. Hace años que Flash no se usa en móviles, pero es un reducto de la web que se ha quedado en nuestra memoria y es eficaz como anzuelo. Y obviamente en lugar del Flash hay código malicioso.
• Otro peligro habitual, que no parece haberse dado en este caso, es mediante una aplicación troyanizada en Google Play. Pueden ser linternas, horóscopos, utilidades de batería o de limpieza de teléfono.

Una vez instalado, borra su icono y se oculta al usuario pero sigue ejecutándose a la espera de que el usuario inicie una aplicación bancaria.

El motivo de la elección de España como foco no está claro. El objetivo español no conlleva que los creadores del troyano sean también españoles o conozcan la lengua. Hay de hecho algunas erratas en las capturas de pantalla que proporciona Threatfabric. "Tiene pinta de que no son españoles. Hay cosas en su servidor que están en ruso. No suelen ser aislados", dice Palomares.

Ginp ha tenido cinco versiones en los últimos cinco meses. Esta nueva versión fue creada en junio de 2019 y ha ido evolucionando. Primero trataba de robar tarjetas sobreponiéndose a aplicaciones más habituales: Facebook, WhatsApp, Chrome, Skype y otras. En su tercera actualización pasó a centrarse en bancos españoles. También ha reutilizado elementos de Anubis, un célebre troyano bancario cuyo código fue filtrado este mismo año. "El malware bancario para Android más popular de los últimos tres años es Anubis, y fue recientemente filtrado después de que arrestaran a su creador. Es unos de los más sofisticados y Ginp ha cogido algunas de sus funciones y las ha introducido en su código. No ha incluido todas, y se espera que poco a poco introduzcan más", explica Palomares.

Fuente: El País