Il Trojan Ginp falsifica gli SMS in entrata e le notifiche push

Dopo essersi infiltrata in un telefono, la maggior parte dei Trojan di mobile banking cerca di accedere agli SMS. Lo fanno per intercettare i codici di conferma usa e getta delle banche. Grazie a questi codici, i proprietari di malware possono effettuare un pagamento o sottrarre fondi senza che la vittima se ne accorga. Allo stesso tempo, molti Trojan per dispositivi mobili utilizzano i messaggi di testo per infettare più dispositivi inviando link dannosi ai contatti della vittima.

Alcune app dannose sono più creative, utilizzano l’accesso via SMS per inviare altro tipo di contenuti a vostro nome, come ad esempio messaggi di testo offensivi. Il malware Ginp, che abbiamo individuato per la prima volta lo scorso autunno, può persino creare sul telefono della vittima messaggi in entrata che nessuno ha effettivamente inviato, e non solo messaggi. Ma partiamo dall’inizio.

Di cosa è capace il Trojan Ginp

All’inizio, il malware Ginp possedeva abilità tipiche dei Trojan bancari: inviava tutti i contatti della vittima ai suoi creatori, intercettava messaggi di testo, rubava i dati della carta di credito e sovrapponeva finestre di phishing alle applicazioni bancarie.

Per quest’ultimo scopo, il malware Ginp sfruttava le autorizzazioni della sezione Accessibilità, un insieme di funzionalità Android per gli utenti con disabilità visive. Non è raro che i Trojan bancari e molti altri tipi di malware utilizzino queste funzioni, perché attraverso di esse ottengono l’accesso visuale a tutto ciò che appare sullo schermo e possono persino “toccare” i pulsanti o i link. A tutti gli effetti, possono prendere completamente il controllo del telefono.

Ma i creatori del malware Ginp non si sono fermati qui, hanno rifornito l’arsenale con funzionalià più creative. Ad esempio, il malware ha iniziato a utilizzare notifiche push e messaggi pop-up per indurre le vittime ad aprire determinate app, quelle a cui può sovrapporre delle finestre di phishing. Le notifiche sono abilmente formulate in modo da indurre gli utenti ad aspettarsi di vedere un modulo per l’inserimento dei dati delle carte di credito. Qui di seguito un esempio (in spagnolo):

Google Pay: Nos faltan los detalles de su tarjeta de crédito o débito. Utilizza il Play Store per concordare i dati della tua carta di credito.

(“Google Pay: Mancano i dati della carta di credito o di debito. Si prega di utilizzare l’applicazione Play Store per aggiungerli in modo sicuro”).

Nel Play Store gli utenti vedono un modulo per l’inserimento dei dati della carta come previsto. Tuttavia, è il Trojan che mostra il modulo, non Google Play, e i dati inseriti vanno direttamente ai criminali informatici.

Una finta (e purtroppo molto convincente) finestra per l’inserimento dei dati della carta di credito, visualizzata in quella che sembra essere l’app del Play Store

Ginp va oltre il Play Store, mostrando anche quelle che sembrano notifiche da app bancarie:

B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26

(“B**A: Attività sospetta rilevata sul conto B**A. Si prega di controllare le transazioni recenti e chiamare il numero 91 *** ** ** 26”)

Curiosamente, le false notifiche forniscono un numero di telefono reale della banca, quindi se si chiamasse, l’impiegato di banca potrebbe dirvi che il vostro conto è a posto. Ma se si esaminano le “transazioni sospette” prima di chiamare la banca, il malware Ginp sovrappone all’applicazione bancaria una finestra falsa e chiede i dati della carta.

SMS falsi ma molto convincenti

All’inizio di febbraio, il nostro sistema Botnet Attack Tracking ha rilevato un’altra nuova caratteristica di Ginp: la possibilità di creare SMS falsi. Lo scopo è lo stesso di prima, indurre l’utente ad aprire l’applicazione. Adesso però il Trojan può generare messaggi SMS con qualsiasi testo e che sembrano provenire da qualsiasi mittente. Nulla impedisce ai cybercriminali di falsificare i messaggi delle banche o di Google.

Un messaggio, che sembra provenire da una banca, chiede all’utente di confermare un pagamento nell’applicazione mobile

Mentre gli utenti spesso mettono da parte le notifiche push senza leggerle, prima o poi i  messaggi SMS in arrivo vengono letti. Ciò significa che c’è una buona probabilità che un determinato utente apra l’app per controllare cosa sta succedendo sul suo conto. Ed è allora che il Trojan si trasforma in un modulo falso per l’inserimento dei dati della carta.

Come difendersi da Ginp

Al momento, l’obiettivo principale di Ginp sono gli utenti in Spagna, ma la sua tattica è già cambiata una volta e potrebbe cambiare di nuovo. In passato il suo raggio di azione coinvolgeva anche la Polonia e il Regno Unito. Quindi, anche se vivete altrove, ricordate sempre le regole di base della sicurezza informatica. Per evitare di essere vittima dei Trojan bancari:

• Scaricate le applicazioni solo da Google Play;
• Bloccate l’installazione di programmi da fonti sconosciute nelle impostazioni di Android;
• Non fate tap sui link nei messaggi di testo, soprattutto se il messaggio vi sembra in qualche modo sospetto (ad esempio se un amico vi invia inaspettatamente un link a una foto invece di inviare l’immagine con un’app di messaggistica o sui social);
• Non date permessi di accessibilità a nessuna app che li richieda. Pochissime app hanno veramente bisogno di questo tipo di autorizzazione così potente;
• Diffidate delle app che vogliono accedere ai vostri SMS;
• Installate una soluzione di sicurezza affidabile sul vostro telefono. Ad esempio, Kaspersky Internet Security for Android rileva Ginp e molte altre minacce.