Un pericoloso Trojan soppianta le “app” di sette banche spagnole su Android

JORDI PÉREZ COLOMÉ elpais.com 23.11.19

Il software dannoso Ginp è stato creato solo pochi mesi fa e fa parte di una campagna incentrata sulla Spagna

virus trojan
L’obiettivo del “malware” sono 23 “app” di sette banche spagnole. ROB HAMPSON / UNSPLASH

Un utente Android apre la sua applicazione bancaria. Se il malware  Ginp si è intrufolato nel tuo cellulare , rileverà quel movimento e sovrapporrà uno schermo tracciato a quello della banca sopra l’ app legittima, ma ovviamente per uno scopo diverso. Prima chiederai l’accesso alle credenziali e poi la carta, con la sua data di scadenza e il numero CVV. L’utente crederà di utilizzare l’ app della banca, ma fornirà i suoi dati ai ladri.

L’attacco è sorprendentemente sofisticato per ciò che è normale nelle banche spagnole. “La falsa pagina di phishing è praticamente identica all’originale. Qualcuno si è preso il tempo di copiarla così com’è”, spiega Santiago Palomares, analista di malware di Threatfabric, una start-up olandese specializzata in Trojan bancari che ha analizzato il codice Ginp .

Due esempi di falsi schermi Ginp che tracciano l'app Santander.
Due esempi di falsi schermi Ginp che tracciano l’app Santander. THREATFABRIC

Tanta dedizione nella copia della pagina è rara nei cellulari Android ed eccezionale nel malware rivolto alle banche spagnole: “Nessun altro malware per le aziende spagnole assomigliava tanto alla banca legittima. Il più comune era creare una pagina standard e cambiare solo logo e colore Ma Ginp no: emula anche una pagina di caricamento specifica che Bankia ha ad esempio, anche con i tempi di caricamento di quelle applicazioni “, aggiunge Palomares. Le sette banche interessate sono Caixabank, Bankinter, Bankia, BBVA, EVO Bank, Kutxabank e Santander.

Gli attori dannosi hanno due modi per rubare: uno, usa la carta. Due, effettua un trasferimento. Se il codice di conferma arriva tramite SMS, la stessa app dannosa può inviarlo nuovamente. “Infettando il telefono, si ha accesso all’SMS, quindi se si ottengono le credenziali e i dati della carta significa che è possibile effettuare transazioni in quasi tutti i negozi”, afferma Palomares.

Come rilevare che un cellulare è infetto? Quando viene lanciata l’ app della banca, l’effetto dell’aspetto dello schermo dannoso è simile a quando viene passato da un’applicazione all’altra sui cellulari Android. “Se guardi quindi nell’elenco delle app che hai aperto, vedi uno senza nome come quello più recente, aperto dopo quello della banca”, spiega Palomares. Questo tipo di attacco si chiama overlay. Consiste nell’accedere all’app bancaria tramite un permesso Android. Google ha reso sempre più difficile il raggiungimento, ma succede ancora.

Tatyana Shishkova@sh1shk0va

New #Ginp Android banking Trojan distribution SMS: “The new Android 10: hxxps://bit.ly/#######”. The downloaded Trojan has application name “Android 10 Updater”.
IoC: 0xEFA2911CD1BD8ECE8320D9FAE9F98C26

Ver imagen en Twitter

1913:43 – 23 oct. 2019Información y privacidad de Twitter AdsVer los otros Tweets de Tatyana Shishkova

L’altra grande domanda è come quel codice dannoso si è intrufolato nel telefono dell’utente. Esistono due percorsi di base. Innanzitutto, attraverso un link . Nel caso di Ginp, l’ondata principale è stata attraverso lo spam con un collegamento SMS. Il Trojan dirotta quindi l’elenco dei contatti e inoltra il collegamento ad altri utenti. Un ricercatore di Kaspersky, che è stato il primo a pubblicare l’esistenza di Ginp, ha fornito un esempio di uno di quei messaggi SMS , con un presunto aggiornamento di Android 10.

Un altro modo in cui questo Trojan è distribuito è con annunci sul web in cui appare un pop-up che chiede di installare “Adobe Flash Player” sul cellulare. Flash non è stato usato nei telefoni cellulari per anni, ma è un ridotto del web che è rimasto nella nostra memoria ed è efficace come un gancio. E ovviamente al posto di Flash esiste un codice dannoso. Un altro solito pericolo che non sembra essersi verificato in questo caso è attraverso un’applicazione Trojan su Google Play. Possono essere torce elettriche, oroscopi, utilità della batteria o pulizia del telefono.

Una volta dentro, l’ app ha le istruzioni per eliminare la sua icona, per nascondere e non apparire con un logo. Ma continua a funzionare in attesa che l’utente avvii un’applicazione bancaria.

Il motivo della scelta della Spagna come focus non è chiaro. La penetrazione delle app bancarie in Spagna è elevata e ogni volta che le banche incoraggiano i loro clienti a utilizzarle. “È vero che forse c’è più mercato”, afferma Sergio de los Santos, direttore dell’innovazione e del laboratorio di ElevenPaths, unità di sicurezza informatica di Telefónica Digital. “Perché non dipende da quanto bene o male fanno le banche nella sicurezza informatica”, aggiunge.

L’obiettivo spagnolo non implica che anche i creatori del Trojan siano spagnolo o conoscano la lingua. Ci sono davvero alcuni errori di battitura negli screenshot forniti da Threatfabric. “Sembra che non siano spagnoli. Ci sono cose sul loro server che sono in russo. Di solito non sono isolate”, dice Palomares.

Ginp ha avuto cinque versioni negli ultimi cinque mesi. Questa nuova versione è stata creata a giugno 2019 e si è evoluta. Innanzitutto, ha cercato di rubare le carte superando le applicazioni più comuni: Facebook, WhatsApp, Chrome, Skype e altri. Nel suo terzo aggiornamento, si è concentrato sulle banche spagnole. Ha anche riutilizzato elementi di Anubi, un famoso trojan bancario il cui codice è stato trapelato quest’anno. “Il malwareLa banca Android più popolare degli ultimi tre anni è Anubi ed è stata recentemente trapelata dopo l’arresto del suo creatore. È uno dei più sofisticati e Ginp ha preso alcune delle sue funzioni e le ha introdotte nel suo codice. Non ha incluso tutto, e ci si aspetta che a poco a poco introducano di più “, spiega Palomares. È quindi probabile che Ginp continuerà a evolversi.