{"id":19936,"date":"2020-02-19T14:39:11","date_gmt":"2020-02-19T12:39:11","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=19936"},"modified":"2020-05-19T19:21:45","modified_gmt":"2020-05-19T17:21:45","slug":"ginp-mobile-banking-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ginp-mobile-banking-trojan\/19936\/","title":{"rendered":"Il Trojan Ginp falsifica gli SMS in entrata e le notifiche push"},"content":{"rendered":"

Dopo essersi infiltrata in un telefono, la maggior parte dei Trojan di mobile banking<\/strong> cerca di accedere agli SMS. Lo fanno per intercettare i codici di conferma usa e getta delle banche. Grazie a questi codici, i proprietari di malware possono effettuare un pagamento o sottrarre fondi senza che la vittima se ne accorga. Allo stesso tempo, molti Trojan per dispositivi mobili<\/strong> utilizzano i messaggi di testo per infettare pi\u00f9 dispositivi inviando link dannosi<\/strong> ai contatti della vittima.<\/p>\n

Alcune app dannose<\/strong> sono pi\u00f9 creative, utilizzano l\u2019accesso via SMS per inviare altro tipo di contenuti a vostro nome, come ad esempio messaggi di testo offensivi<\/a>. Il malware Ginp, che abbiamo individuato per la prima volta lo scorso autunno<\/a>, pu\u00f2 persino creare sul telefono della vittima messaggi in entrata che nessuno ha effettivamente inviato, e non solo messaggi. Ma partiamo dall\u2019inizio.<\/p>\n

Di cosa \u00e8 capace il Trojan Ginp<\/h2>\n

All\u2019inizio, il malware Ginp possedeva abilit\u00e0 tipiche dei Trojan bancari<\/a>: inviava tutti i contatti della vittima ai suoi creatori, intercettava messaggi di testo, rubava i dati della carta di credito e sovrapponeva finestre di phishing alle applicazioni bancarie.<\/p>\n

Per quest\u2019ultimo scopo, il malware Ginp sfruttava le autorizzazioni<\/a> della sezione Accessibilit\u00e0<\/a>, un insieme di funzionalit\u00e0 Android per gli utenti con disabilit\u00e0 visive. Non \u00e8 raro che i Trojan bancari e molti altri tipi di malware utilizzino queste funzioni, perch\u00e9 attraverso di esse ottengono l\u2019accesso visuale a tutto ci\u00f2 che appare sullo schermo e possono persino \u201ctoccare\u201d i pulsanti o i link. A tutti gli effetti, possono prendere completamente il controllo del telefono<\/a>.<\/p>\n\n

<\/p>\n

Ma i creatori del malware Ginp non si sono fermati qui, hanno rifornito l\u2019arsenale con funzionali\u00e0 pi\u00f9 creative. Ad esempio, il malware ha iniziato a utilizzare notifiche push e messaggi pop-up per indurre le vittime ad aprire determinate app, quelle a cui pu\u00f2 sovrapporre delle finestre di phishing. Le notifiche sono abilmente formulate in modo da indurre gli utenti ad aspettarsi di vedere un modulo per l\u2019inserimento dei dati delle carte di credito. Qui di seguito un esempio (in spagnolo):<\/p>\n

Google Pay: Nos faltan los detalles de su tarjeta de cr\u00e9dito o d\u00e9bito. Utilizza il Play Store per concordare i dati della tua carta di credito.<\/p>\n

(\u201cGoogle Pay: Mancano i dati della carta di credito o di debito. Si prega di utilizzare l\u2019applicazione Play Store per aggiungerli in modo sicuro\u201d).<\/p><\/blockquote>\n

Nel Play Store gli utenti vedono un modulo per l\u2019inserimento dei dati della carta come previsto. Tuttavia, \u00e8 il Trojan che mostra il modulo, non Google Play, e i dati inseriti vanno direttamente ai criminali informatici.<\/p>\n

\"Una

Una finta (e purtroppo molto convincente) finestra per l\u2019inserimento dei dati della carta di credito, visualizzata in quella che sembra essere l\u2019app del Play Store<\/p><\/div>\n

Ginp va oltre il Play Store, mostrando anche quelle che sembrano notifiche da app bancarie:<\/p>\n

B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26<\/p>\n

(\u201cB**A: Attivit\u00e0 sospetta rilevata sul conto B**A. Si prega di controllare le transazioni recenti e chiamare il numero 91 *** ** ** 26\u201d)<\/p><\/blockquote>\n

Curiosamente, le false notifiche <\/strong>forniscono un numero di telefono reale della banca, quindi se si chiamasse, l\u2019impiegato di banca potrebbe dirvi che il vostro conto \u00e8 a posto. Ma se si esaminano le \u201ctransazioni sospette\u201d prima di chiamare la banca, il malware Ginp<\/strong> sovrappone all\u2019applicazione bancaria una finestra falsa e chiede i dati della carta.<\/p>\n

SMS falsi ma molto convincenti<\/h2>\n

All\u2019inizio di febbraio, il nostro sistema Botnet Attack Tracking ha rilevato un\u2019altra nuova caratteristica di Ginp: la possibilit\u00e0 di creare SMS falsi. Lo scopo \u00e8 lo stesso di prima, indurre l\u2019utente ad aprire l\u2019applicazione. Adesso per\u00f2 il Trojan pu\u00f2 generare messaggi SMS con qualsiasi testo e che sembrano provenire da qualsiasi mittente. Nulla impedisce ai cybercriminali di falsificare i messaggi delle banche o di Google.<\/p>\n

\"Un

Un messaggio, che sembra provenire da una banca, chiede all\u2019utente di confermare un pagamento nell\u2019applicazione mobile<\/p><\/div>\n

Mentre gli utenti spesso mettono da parte le notifiche push<\/strong> senza leggerle, prima o poi i \u00a0messaggi SMS in arrivo vengono letti. Ci\u00f2 significa che c\u2019\u00e8 una buona probabilit\u00e0 che un determinato utente apra l\u2019app per controllare cosa sta succedendo sul suo conto. Ed \u00e8 allora che il Trojan si trasforma in un modulo falso<\/strong> per l\u2019inserimento dei dati della carta.<\/p>\n

Come difendersi da Ginp<\/h2>\n

Al momento, l\u2019obiettivo principale di Ginp sono gli utenti in Spagna, ma la sua tattica \u00e8 gi\u00e0 cambiata una volta e potrebbe cambiare di nuovo. In passato il suo raggio di azione coinvolgeva anche la Polonia e il Regno Unito. Quindi, anche se vivete altrove, ricordate sempre le regole di base della sicurezza informatica<\/strong>. Per evitare di essere vittima dei Trojan bancari<\/strong>:<\/p>\n