Il Trojan Ginp e il coronoavirus che ci circonda

Il Trojan bancario Ginp utilizza fantomatiche informazioni sulle persone infettate dal coronavirus come esca per indurre gli utenti Android a concedere i dati della propria carta di credito.

In queste settimane di pandemia da coronavirus, il mondo intero sta lavorando da casa grazie allo smart working con lo scopo di praticare il distanziamento sociale; quest’ultima misura in alcuni casi può sfociare in paranoia. Pensiamo di dover evitare qualsiasi tipo di contatto con chiunque perché non sappiamo se quella o quell’altra persona in particolare ha contratto il coronavirus. Insomma, abbiamo timore di chiunque ci circondi e ovviamente i cybercriminali hanno deciso di approfittarsene.

Il Coronavirus Finder (che non funziona)

I cybercriminali che hanno creato Ginp, un Trojan bancario di cui abbiamo parlato di recente (ecco il post su Ginp sul nostro blog Kaspersky Daily) ora sono impegnati in una nuova campagna criminale chiamata COVID-19. Nel momento in cui Ginp riceve un comando speciale, il Trojan apre una pagina che si chiama Coronavirus Finder. Con un’interfaccia molto semplice, la pagina mostra il numero di persone infette dal coronavirus che si trovano nelle vicinanze e vi offre la possibilità di visualizzare la localizzazione di queste persone a cambio di una piccola somma di denaro.

Il sito Coronavirus Finder del Trojan Ginp

Per molte persone sarebbe un bel sollievo sapere chi dover evitare! E per alcune questo messaggio è così convincente da essere disposte a pagare. La somma sembra essere contenuta, si può fare. A questo punto il sito vi suggerisce di inserire i dati della carta di credito per concludere la transazione.

Come ricorderete, Ginp è un Trojan bancario molto abile, che si avvale di diversi trucchi per convincere gli utenti a indicare i dati della propria carta di credito in un modulo, per poi rubarli. Allo stesso modo, questa nuova pagina è solo un altro inganno per rubare informazioni bancarie.

Dopo aver inserito I dati della carta di credito, queste preziose informazioni vanno direttamente nelle mani dei cybercriminali… e non accade nient’altro. Non viene addebitata la somma prevista per il servizio (perché dovrebbero, visto che i cybercriminali possono prendere tutto il denaro che c’è sulla carta?) e, ovviamente, non vengono mostrate informazioni sulle persone nelle vicinanze infette dal coronavirus, perché queste informazioni non esistono.

Dopo aver inserito i dati della carta di credito, queste informazioni andranno direttamente nelle mani dei cybercriminali

Data la velocità di diffusione del coronavirus, nessuno detiene un’informazione di questo tipo, neanche i governi, per questo non dovete cadere nella trappola. Inoltre, se questa pagina vi appare sullo schermo del dispositivo, vuol dire che Ginp si è già insinuato sul vostro telefono. Finché rimarrete protetti e non ci sarà questo Trojan sul dispositivo, non riceverete questo genere di notifiche.

Secondo i dati ottenuti da Kaspersky Security Network, la maggior parte degli utenti che si sono imbattuti in Ginp si trova in Spagna, come è avvenuto nel primo caso. Tuttavia, si tratta di una nuova versione di Ginp (etichettata come “flash-2”) mentre le altre erano indicate come “flash-es12”. Forse la mancanza di “es” nella nuova versione indica l’intenzione dei cybercriminali di varcare i confini della Spagna e di organizzare una campagna più estesa.

Non è la prima volta che i cybercriminali sfruttano la tematica del coronavirus; il virus pandemico è stato utilizzato come esca in e-mail di phishing e gli hanno anche dedicato un malware.

Come difendersi dal Trojan bancario Ginp

I nostri consigli su come stare alla larga dal Trojan bancario Ginp sono sempre gli stessi:

  • Scaricate le app esclusivamente da Google Play (e disattivate l’opzione di installazione delle app da altre risorse);
  • State sempre in guardia. Se c’è qualcosa di sospetto, non cliccate sui link e, soprattutto, non digitate informazioni riservate come credenziali di accesso, password e dati di pagamento;
  • Non concedete le autorizzazioni di Accessibilità alle app che le richiedono (applicazioni antivirus a parte);
  • Avvaletevi di una soluzione di sicurezza affidabile. Ad esempio, Kaspersky Internet Security for Android conosce bene Ginp e lo identifica con la dicitura Trojan-Banker.AndroidOS.Ginp.

Infine, per proteggervi dall’epidemia di coronavirus, vi raccomandiamo di seguire le indicazioni dell’Organizzazione Mondiale della Sanità.

Consigli