UN PELIGROSO TROYANO SUPLANTA LAS APPS DE SIETE BANCOS ESPAÑOLES EN ANDROID.

Un peligroso troyano suplanta las ‘apps’ de siete bancos españoles en Android

El 'software' malicioso Ginp se creó hace solo unos meses y forma parte de una campaña centrada en España.

Un usuario de Android abre su aplicación del banco. Si el malware Ginp se ha colado en su móvil, detectará ese movimiento y sobrepondrá una pantalla calcada a la del banco por encima de la app legítima, pero obviamente con una finalidad distinta. Primero pedirá las credenciales para acceder y después la tarjeta, con su fecha de caducidad y el número CVV. El usuario creerá que está usando la app del banco, pero estará dando sus datos a los ladrones.

El ataque es sorprendentemente sofisticado para lo que es habitual en bancos españoles. "La página falsa del phishing es prácticamente idéntica a la original. Alguien se ha tomado su tiempo en copiarla tal cual", explica Santiago Palomares, analista de malware en Threatfabric, start-up holandesa especializada en troyanos bancarios que ha analizado el código de Ginp.

 

La otra gran pregunta es cómo se ha colado ese código malicioso en el teléfono del usuario. Hay dos caminos básicos. Primero, a través de un link. En el caso de Ginp, la oleada principal ha sido a través de spam con un enlace por SMS. El troyano secuestra luego la lista de contactos y reenvía el enlace a otros usuarios. Una investigadora de Kaspersky, que fue la primera que publicó la existencia de Ginp, puso un ejemplo de uno de esos SMS, con una supuesta actualización de Android 10.

Otro modo en que este troyano se distribuye es con anuncios en web en los que salta un pop up que pide instalar "Adobe Flash Player" en el móvil. Hace años que Flash no se usa en móviles, pero es un reducto de la web que se ha quedado en nuestra memoria y es eficaz como anzuelo. Y obviamente en lugar del Flash hay código malicioso. Otro peligro habitual que no parece haberse dado en este caso es mediante una aplicación troyanizada en Google Play. Pueden ser linternas, horóscopos, utilidades de batería o de limpieza de teléfono.

Una vez está dentro, la app tiene instrucciones de borrar su icono, de esconderse y no aparecer con un logo. Pero sigue ejecutándose a la espera de que el usuario inicie una aplicación del banco.

El motivo de la elección de España como foco no está claro. La penetración de apps bancarias en España es alta y cada vez los bancos animan a sus clientes a emplearlas. "Es cierto que quizá hay más mercado", dice Sergio de los Santos, director de innovación y laboratorio en ElevenPaths, unidad de ciberseguridad de Telefónica Digital. "Porque no depende de lo bien o lo mal que lo hagan los bancos en ciberseguridad", añade.

El objetivo español no conlleva que los creadores del troyano sean también españoles o conozcan la lengua. Hay de hecho algunas erratas en las capturas de pantalla que proporciona Threatfabric. "Tiene pinta de que no son españoles. Hay cosas en su servidor que están en ruso. No suelen ser aislados", dice Palomares.

Ginp ha tenido cinco versiones en los últimos cinco meses. Esta nueva versión fue creada en junio de 2019 y ha ido evolucionando. Primero trataba de robar tarjetas sobreponiéndose a aplicaciones más habituales: Facebook, WhatsApp, Chrome, Skype y otras. En su tercera actualización pasó a centrarse en bancos españoles. También ha reutilizado elementos de Anubis, un célebre troyano bancario cuyo código fue filtrado este mismo año. "El malware bancario para Android más popular de los últimos tres años es Anubis, y fue recientemente filtrado después de que arrestaran a su creador. Es unos de los más sofisticados y Ginp ha cogido algunas de sus funciones y las ha introducido en su código. No ha incluido todas, y se espera que poco a poco introduzcan más", explica Palomares. Es probable, por tanto, que Ginp siga evolucionando.

EL PELIGRO DE INTERNET SON LOS SALTEADORES DE CAMINOS.