El troyano móvil Ginp falsifica los SMS entrantes

Para conseguir la información de tu tarjeta bancaria, el malware superpone las aplicaciones con páginas de phishing y utiliza notificaciones falsas para que abras estas aplicaciones.

SMS falsos avisan de ERTE

Después de infiltrarse en un teléfono, la mayoría de los troyanos bancarios consiguen acceder a los mensajes SMS para poder interceptar los códigos de confirmación de un solo uso que envían los bancos. Con ese código, los propietarios del malware pueden realizar pagos o desviar los fondos a otra cuenta sin que la víctima se percate. A su vez, muchos troyanos móviles utilizan los mensajes de texto para infectar más dispositivos, para ello envían a los contactos de la víctima un enlace de descarga malicioso.

Otras aplicaciones maliciosas son más creativas y utilizan el acceso a los mensajes de texto para distribuir todo tipo de información a tu nombre, como mensajes ofensivos. El malware Ginp, que detectamos por primera vez el pasado otoño, puede incluso crear mensajes de texto en la bandeja de entrada del teléfono de la víctima que no ha enviado nadie, y no solo mensajes. Pero comencemos por el principio.

Qué es capaz de hacer el troyano móvil Ginp

Al principio, Ginp contaba con las habilidades típicas de los troyanos bancarios: enviaba todos los contactos de la víctima a sus creadores, interceptaba los mensajes de texto, robaba los datos de la tarjeta bancaria y cubría las aplicaciones bancarias con ventanas de phishing.

Para el último caso, el malware explotaba la Accesibilidad, un conjunto de funciones de Android para usuarios con deficiencia visual. Esto no es algo poco habitual, ya que los troyanos bancarios y muchos otros tipos de malware utilizan estas funciones para conseguir el acceso visual a todo lo que aparece en la pantalla e incluso pueden “pulsar” en botones y enlaces, de hecho, pueden tomar el control de tu smartphone por completo.

Pero los autores de Ginp no se quedaron ahí y continuaron armando su arsenal con más funciones originales. Por ejemplo, el malware comenzó a utilizar notificaciones push y mensajes emergentes para conseguir que las víctimas abrieran ciertas aplicaciones, aquellas que podían cubrir con ventanas de phishing. Las notificaciones estaban tan bien hechas, que los usuarios creían que se encontraban frente a un formulario auténtico para insertar sus datos bancarios. A continuación, os dejamos un ejemplo:

Google Pay: Nos faltan los detalles de su tarjeta de crédito o débito. Utilice Play Store para agregarlos de manera segura.

En la aplicación Play Store, los usuarios ven un formulario para introducir los datos de su tarjeta bancaria. No obstante, es el troyano el que muestra el formulario, no Google Play, y la información introducida acabará directamente en manos de los ciberdelincuentes.

Una ventana falsa, aunque muy convincente, para introducir datos de tarjeta bancaria se muestra aparentemente en la aplicación Play Store

Pero Ginp va más allá de Play Store y también muestra lo que parecen ser notificaciones de aplicaciones bancarias:

B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26.

Lo curioso es que en las notificaciones falsas aparece un número de teléfono real del banco, por lo que, si llamas, es probable que la voz al otro lado de la línea te informe de que tu cuenta está bien. Pero, si miras en “transacciones sospechosas” antes de llamar al banco, el malware cubrirá la aplicación bancaria con una ventana falsa y solicitará la información de tu tarjeta.

Mensajes de texto muy convincentes

A principios de febrero, nuestro sistema de vigilancia de actividad de botnet (Botnet Attack Tracking) detectó una nueva función en Ginp: la habilidad de crear mensajes de texto falsos en la bandeja de entrada. El objetivo era el mismo que antes: conseguir que el usuario abriera una aplicación, pero ahora el troyano puede generar mensajes SMS sin texto y, aparentemente, de cualquier remitente. No hay nada que evite que los atacantes falsifiquen mensajes de bancos o Google.

Un mensaje, supuestamente de un banco, que solicita al usuario que confirme un pago en la aplicación móvil

Los usuarios cierran las notificaciones push sin mirar, pero sí suelen leer los mensajes que reciben tarde o temprano. Por lo que hay muchas probabilidades de que un usuario acabe abriendo la aplicación para comprobar qué sucede en su cuenta. Y ahí es donde aparece el troyano en forma de formulario para que el usuario introduzca los datos de su tarjeta bancaria.

Cómo protegerte contra Ginp

Ahora Ginp se dirige principalmente a usuarios en España, pero sus tácticas ya cambiaron una vez y podrían volver a hacerlo, ya que antes se dirigía también a Polonia y Reino Unido. Por lo que, vivas donde vivas, recuerda siempre las reglas básicas de ciberseguridad. Para evitar caer en la trampa de los troyanos bancarios:

  • Descarga aplicaciones únicamente de Google Play.
  • Bloquea la instalación de programas de fuentes desconocidas en los ajustes de Android.
  • No accedas a enlaces en mensajes de texto, sobre todo en los que te resulten sospechosos. Por ejemplo, si un amigo te envía un SMS que no esperabas con un enlace a una foto en lugar de enviar la imagen mediante la aplicación de mensajería instantánea o la red social que utilizáis normalmente para comunicaros.
  • No concedas permisos de Accesibilidad a cualquier aplicación que los solicite, muy pocos programas necesitan realmente este permiso tan poderoso.
  • Desconfía de las aplicaciones que soliciten acceso a tus mensajes de texto.
  • Instala una solución de seguridad de confianza en tu teléfono. Por ejemplo, Kaspersky Internet Security for Android es capaz de detectar Ginp, al igual que muchas otras amenazas.
Consejos