El ‘software’ malicioso Ginp se creó hace solo unos meses y forma parte de una campaña centrada en España
Un usuario de Android abre su aplicación del banco. Si el malware Ginp se ha colado en su móvil, detectará ese movimiento y sobrepondrá una pantalla calcada a la del banco por encima de la app legítima, pero obviamente con una finalidad distinta. Primero pedirá las credenciales para acceder y después la tarjeta, con su fecha de caducidad y el número CVV. El usuario creerá que está usando la app del banco, pero estará dando sus datos a los ladrones.
El ataque es sorprendentemente sofisticado para lo que es habitual en bancos españoles. «La página falsa del phishing es prácticamente idéntica a la original. Alguien se ha tomado su tiempo en copiarla tal cual», explica Santiago Palomares, analista de malware en Threatfabric, start-up holandesa especializada en troyanos bancarios que ha analizado el código de Ginp.
Tanto esmero en la copia de la página es raro en móviles Android y excepcional en malware dirigido a bancos españoles: «Ningún otro malware para empresas españolas se parecía tanto al banco legítimo.
Los actores maliciosos tienen dos vías para robar: uno, usar la tarjeta. Dos, hacer una transferencia. Si el código de confirmación llega por SMS, la misma app maliciosa puede reenviarlo. «Infectando el teléfono, tienes acceso a los SMS, de modo que si consigues las credenciales y los datos de la tarjeta significa que puedes realizar transacciones en casi cualquier comercio», dice Palomares.
¿Cómo detectar que un móvil está infectado? Cuando se lanza la app del banco, el efecto de la aparición de la pantalla maliciosa es similar a cuando se pasa de una aplicación a otra en móviles Android. «Si miras entonces en la lista de apps que tienes abiertas ves una sin nombre como la más reciente, abierta después de la del banco», explica Palomares.
La otra gran pregunta es cómo se ha colado ese código malicioso en el teléfono del usuario. Hay dos caminos básicos. Primero, a través de un link. En el caso de Ginp, la oleada principal ha sido a través de spam con un enlace por SMS. El troyano secuestra luego la lista de contactos y reenvía el enlace a otros usuarios. Una investigadora de Kaspersky, que fue la primera que publicó la existencia de Ginp, puso un ejemplo de uno de esos SMS, con una supuesta actualización de Android 10.
Otro modo en que este troyano se distribuye es con anuncios en web en los que salta un pop up que pide instalar «Adobe Flash Player» en el móvil. Hace años que Flash no se usa en móviles, pero es un reducto de la web que se ha quedado en nuestra memoria y es eficaz como anzuelo.
Una vez está dentro, la app tiene instrucciones de borrar su icono, de esconderse y no aparecer con un logo. Pero sigue ejecutándose a la espera de que el usuario inicie una aplicación del banco.
El motivo de la elección de España como foco no está claro. La penetración de apps bancarias en España es alta y cada vez los bancos animan a sus clientes a emplearlas. «Es cierto que quizá hay más mercado», dice Sergio de los Santos, director de innovación y laboratorio en ElevenPaths, unidad de ciberseguridad de Telefónica Digital. «Porque no depende de lo bien o lo mal que lo hagan los bancos en ciberseguridad», añade.
Ginp ha tenido cinco versiones en los últimos cinco meses. Esta nueva versión fue creada en junio de 2019 y ha ido evolucionando. Primero trataba de robar tarjetas sobreponiéndose a aplicaciones más habituales: Facebook, WhatsApp, Chrome, Skype y otras. En su tercera actualización pasó a centrarse en bancos españoles. También ha reutilizado elementos de Anubis, un célebre troyano bancario cuyo código fue filtrado este mismo año. «El malware bancario para Android más popular de los últimos tres años es Anubis, y fue recientemente filtrado después de que arrestaran a su creador. Es unos de los más sofisticados y Ginp ha cogido algunas de sus funciones y las ha introducido en su código.
Publicado en: https://elpais.com/tecnologia/2019/11/22/actualidad/1574435744_271497.html 3/12/2019
