El malware Ginp fue creado hace relativamente pocos meses y se ha utilizado para desplegar una campaña de infección dirigida, por ahora, a los usuarios de la banca en España, aunque probablemente ampliarán la cobertura.

 

Una vez instalado en el teléfono móvil, el troyano, detecta cuales son las aplicaciones bancarias instaladas y superpone una página igual que la del banco, encima de la app original.

 

Este ataque, llamado Overlay en ordenadores de sobremesa, es muy frecuente, pero no se se había detectado su propagación en terminales móviles, hasta la fecha.

 

Una vez instalado, solicita al usuario, las contraseñas de acceso y posteriormente, solicita los datos de la tarjeta: nombre del titular, fecha de caducidad y CVV.

 

En realidad, el usuario es víctima de un engaño ya que creerá que está accediendo a la app del banco, cuando en realidad no es así y está enviando sus datos a los ciberdelincuentes.

 

Los bancos españoles afectados por la suplantación son: Caixabank, Bankinter, Bankia, BBVA, EVO Banco, Kutxabank y Santander.

 

Los ciberdelincuentes han realizado un trabajo muy concreto y detallado para copiar las app’s originales de los bancos; estábamos acostumbradas a ver copias mal hechas de imágenes superpuestas, a veces con faltas de ortografía.

 

Ginp no solo parece exactamente la página autentica de la entidad bancaria, sino que, además, han conseguido hacer a la perfección los tiempos de respuesta de las app’s originales.

 

¿Cómo actúan los ciberdelincuentes una vez han obtenido los datos?

 

Una vez han recibido los datos de la tarjeta, emplean dos caminos para robar: realizando una transferencia o usando la tarjeta.

 

Cuando la víctima recibe el código SMS a través del móvil, la misma aplicación infectada tiene acceso a reenviarlo. Teniendo el teléfono móvil, la falsa aplicación y acceso a los mensajes SMS, obtienen todo el kit necesario para conseguir su objetivo.

 

¿Cómo saber si el móvil está infectado?

 

Comprobando las aplicaciones instaladas en el móvil y revisando los permisos de Android.

 

¿De qué forma puede llegar el malware Ginp al teléfono móvil?

 

El código malicioso puede llegar al teléfono a través de distintos medios.

 

Habitualmente llegan a través de enlaces enviados por SMS al mismo terminal

.

El malware accede a los contactos y los utiliza para reenviar y expandir el mismo mensaje a nuevas víctimas y así sucesivamente.

 

Por otra parte, Ginp se distribuye también a través de anuncios en páginas web, en los que aparece un banner que pide instalar Adobe Flash Player en el móvil, en vez de Flash hay código malicioso.

 

Ya sabemos que no necesitamos instalar Flash para nada, pero aún hay usuarios que sin darse cuenta, acceden al enlace de descarga.

 

Por último, puede llegar a través de la descarga de una aplicación infectada en Google Play, como: linternas, aplicaciones de control de salud, brújulas, alertas de tiempo, horóscopos y utilidades de limpieza de teléfonos móviles.

 

Una vez instalado, borra su icono y se oculta al usuario pero sigue ejecutándose a la espera de que el usuario inicie una aplicación bancaria.

A continuación se muestran las capturas de pantalla de la superposición de las páginas y la infromación recopilada (fuente: Threatfabric):

 

Evo bank

Overlay

Overlays bancos

Share This