Nueva variante del troyano bancario Ginp afecta a la banca española

Usuarios de aplicaciones móviles del sector bancario español -aunque también hay casos registrados en Reino Unido- han sido afectados por malware de tipo troyano bancario, cuyo nombre es Ginp y que roba datos de tarjetas de crédito y credenciales.

Ginp fue visto por primera vez en Octubre según Kaspersky informó entonces, pero se cree que el malware lleva actuando desde Junio aproximadamente. Habría recibido ya 5 actualizaciones de código, la última tomando partes un troyano bancario denominado Anubis.

Lo que hace único a Ginp es que fue construido desde cero, siendo luego modelado con actualizaciones posteriores. […] indicando que el autor del malware intenta acoplar las partes más eficaces al mismo. Además, su lista de objetivos original es muy reducida y está formada casi exclusivamente por bancos españoles.

Informe publicado por ThreatFabric

Troyano bancario Ginp, afecta a usuarios de banca en España

La versión inicial del malware data de Junio de 2019, cuando se enmascaraba como la app Google Play Verificator. Esta app estaba pensada para robar el contenido de los SMS que recibían las víctimas.

En Agosto, el troyano fue rebautizado como la aplicación falsa Adobe Flash Player y se le implementaron algunas funciones adicionales relacionadas con la banca.

El malware abusa del servicio de Accesibilidad de Android para realizar ataques de tipo overlay (superposición) y de esa forma convertirse en la aplicación de envío de SMS predeterminada. Se atacan apps sociales y utilidades, como pueden ser Google Play, WhatsApp, Facebook, Instagram o Twitter.

Los expertos se han dado cuenta de que con la v3 se ha copiado parte del código del troyano bancario Anubis, dejándose además las apps no bancarias a un lado.

En todas las apps relacionadas con bancos españoles se incluyen objetivos nunca antes vistos en un troyano bancario. Las 24 apps objetivo pertenecen a 7 bancos diferentes:

• Kutxabank
• Bankinter
• BBVA
• Bankia
• Caixa bank
• Santander
• EVO Banco

La última versión, encontrada este mismo mes, solamente implementa ciertos cambios menores que no parecen usarse. El autor ha diseñado una característica que le permite al malware obtener permisos de administrador para poder hacer llamadas o enviar mensajes.

Capacidades

Cuando se lanza por vez primera el malware en el dispositivo, lo primero que hace es eliminar su propio icono del lanzador de apps, para no ser visible al usuario.

El segundo paso es pedir a la víctima acceso al servicio de Accesibilidad. Una vez obtenido esto, Ginp ya podrá concederse a sí mismo aquellos permisos restantes, incluyendo los de envío de SMS y llamadas como ya hemos dicho.

El malware obtiene los comandos a ejecutar desde su C2 o Centro de Comando y Control. Se trata de estos:

• Overlay: dinámico (overlays locales obtenidos desde el C2)
• SMS harvesting: listado de SMS / reenvío de SMS
• SMS: envío
• Lectura de listado de contactos
• Lectura de listado de aplicaciones
• Llamadas: reenvío de llamadas
• C2: obtención de lista auxiliar
• Auto-protección: esconde el icono de la app, previene la eliminación y emula su detección.

Gin aprovecha el servicio de accesibilidad de Android para determinar qué aplicación está en primer plano en cada momento, para luego comparar con los programas que tiene en su lista de objetivos. Muestra en cada caso la alternativa necesaria.

El bot envía el nombre del paquete a su servidor (C2) que a cambio le proporciona la página HTML que después será mostrada en el overlay, basado en WebView. De esta forma se consigue la ilusión de que el usuario no abandona su aplicación real.

Se espera que Ginp siga modernizándose en los próximos meses, así que hay que estar alerta principalmente a ataques de ingeniería social como el phishing, ya que es la vía perfecta para intentar colarnos este «bicho».