{"id":17136,"date":"2020-02-20T09:44:21","date_gmt":"2020-02-20T15:44:21","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=17136"},"modified":"2020-02-28T10:01:57","modified_gmt":"2020-02-28T16:01:57","slug":"ginp-mobile-banking-trojan","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ginp-mobile-banking-trojan\/17136\/","title":{"rendered":"El troyano m\u00f3vil Ginp falsifica los SMS y notificaciones push"},"content":{"rendered":"

Despu\u00e9s de infiltrarse en un tel\u00e9fono, la mayor\u00eda de los troyanos bancarios<\/strong> consiguen acceder a los mensajes SMS para poder interceptar los c\u00f3digos de confirmaci\u00f3n de un solo uso que env\u00edan los bancos. Con ese c\u00f3digo, los propietarios del malware<\/em> pueden realizar pagos o desviar los fondos a otra cuenta sin que la v\u00edctima se percate. A su vez, muchos troyanos m\u00f3viles<\/strong> utilizan los mensajes de texto para infectar m\u00e1s dispositivos, para ello env\u00edan a los contactos de la v\u00edctima un enlace malicioso<\/strong> de descarga.<\/p>\n

Otras aplicaciones maliciosas<\/strong> son m\u00e1s creativas y utilizan el acceso a los mensajes de texto para distribuir todo tipo de informaci\u00f3n a tu nombre, como mensajes ofensivos<\/a><\/strong>. El malware<\/em> Ginp, que detectamos por primera vez el pasado oto\u00f1o<\/a>, puede incluso crear mensajes de texto en la bandeja de entrada del tel\u00e9fono de la v\u00edctima que no ha enviado nadie, y no solo mensajes. Pero comencemos por el principio.<\/p>\n

Qu\u00e9 es capaz de hacer el troyano m\u00f3vil Ginp<\/strong><\/h2>\n

Al principio, malware<\/em><\/strong> Ginp<\/strong> contaba con las habilidades t\u00edpicas de los troyanos bancarios<\/a><\/strong>: enviaba todos los contactos de la v\u00edctima a sus creadores, interceptaba los mensajes de texto, robaba los datos de la tarjeta bancaria y cubr\u00eda las aplicaciones bancarias con ventanas de phishing<\/em>.<\/p>\n

Para el \u00faltimo caso, el malware<\/i><\/em><\/strong> Ginp<\/strong> explotaba los permisos de Accesibilidad<\/a>, un conjunto de funciones de Android para usuarios con deficiencia visual. Esto es algo habitual, ya que los troyanos bancarios y muchos otros tipos de malware<\/em> utilizan estas funciones para conseguir el acceso visual a todo lo que aparece en la pantalla e incluso pueden \u201cpulsar\u201d en botones y enlaces; de hecho, pueden tomar el control de tu smartphone<\/i><\/a><\/strong> por completo.<\/p>\n

Pero los autores del malware<\/em><\/strong> Ginp<\/strong> no se quedaron ah\u00ed y continuaron armando su arsenal con m\u00e1s funciones originales. Por ejemplo, el malware<\/em> comenz\u00f3 a utilizar notificaciones push<\/em><\/i><\/strong> y mensajes emergentes para conseguir que las v\u00edctimas abrieran ciertas aplicaciones, aquellas que pod\u00edan cubrir con ventanas de phishing<\/em><\/i><\/strong>. Las notificaciones estaban tan bien hechas, que los usuarios cre\u00edan que se encontraban frente a un formulario aut\u00e9ntico para insertar sus datos bancarios. A continuaci\u00f3n, te dejamos un ejemplo:<\/p>\n

Google Pay: Nos faltan los detalles de su tarjeta de cr\u00e9dito o d\u00e9bito. Utilice Play Store para agregarlos de manera segura.<\/p>\n

En la aplicaci\u00f3n Play Store, los usuarios ven un formulario para introducir los datos de su tarjeta bancaria. No obstante, es el troyano el que muestra el formulario, no Google Play, y la informaci\u00f3n introducida acabar\u00e1 directamente en manos de los cibercriminales.<\/p>\n

\"Una

Una ventana falsa, aunque muy convincente, para introducir datos de tarjeta bancaria se muestra aparentemente en la aplicaci\u00f3n Play Store.<\/p><\/div>\n

\u00a0<\/p>\n

Pero Ginp va m\u00e1s all\u00e1 de Play Store y tambi\u00e9n muestra lo que parecen ser notificaciones de aplicaciones bancarias:<\/p>\n

B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las \u00faltimas transacciones y llame al 91 *** ** 26.<\/p>\n

Lo curioso es que en las notificaciones falsas<\/strong> aparece un n\u00famero de tel\u00e9fono real del banco, por lo que, si llamas, es probable que el empleado bancario al otro lado de la l\u00ednea te informe de que tu cuenta est\u00e1 bien. Pero, si miras en \u201ctransacciones sospechosas\u201d antes de llamar al banco, el malware<\/i><\/em><\/strong> Ginp<\/strong> cubrir\u00e1 la aplicaci\u00f3n bancaria con una ventana falsa y solicitar\u00e1 la informaci\u00f3n de tu tarjeta.<\/p>\n

Mensajes de texto muy convincentes<\/strong><\/h2>\n

A principios de febrero, nuestro sistema de vigilancia de actividad de botnet<\/em> (Botnet Attack Tracking) detect\u00f3 una nueva funci\u00f3n en Ginp<\/strong>: la habilidad de crear mensajes de texto falsos<\/strong> en la bandeja de entrada. El objetivo era el mismo que antes: conseguir que el usuario abriera una aplicaci\u00f3n, pero ahora el troyano puede generar mensajes SMS sin texto y, aparentemente, de cualquier remitente. No hay nada que evite que los atacantes falsifiquen mensajes de bancos o Google.<\/p>\n

\"Un

Un mensaje, supuestamente de un banco, que solicita al usuario que confirme un pago en la aplicaci\u00f3n m\u00f3vil.<\/p><\/div>\n

\u00a0<\/p>\n

Los usuarios cierran las notificaciones push<\/em><\/i><\/strong> sin mirar, pero s\u00ed suelen leer los mensajes que reciben tarde o temprano. Por lo que hay muchas probabilidades de que un usuario acabe abriendo la aplicaci\u00f3n para comprobar qu\u00e9 sucede en su cuenta. Y ah\u00ed es donde aparece el troyano en forma de<\/strong> formulario falso<\/strong> para que el usuario introduzca los datos de su tarjeta bancaria.<\/p>\n

C\u00f3mo protegerte contra Ginp<\/strong><\/h2>\n

Ahora Ginp se dirige principalmente a usuarios en Espa\u00f1a, pero sus t\u00e1cticas ya cambiaron una vez y podr\u00edan volver a hacerlo, ya que antes se dirig\u00eda tambi\u00e9n a Polonia y Reino Unido. Por lo que, vivas donde vivas, recuerda siempre las reglas b\u00e1sicas de ciberseguridad<\/strong>. Para evitar caer en la trampa de los troyanos bancarios<\/strong>:<\/p>\n