Ginp: malware de Android enfocado a Bancos de España

Basado en el troyano bancario "Anubis", un nuevo malware bautizado como "Ginp, suplanta varias entidades financieras Españolas, hasta 7 bancos españoles diferentes: Caixa bank, Bankinter, Bankia, BBVA, EVO Banco, Kutxabank y Banco Santander. Detecta las aplicaciones de distintos bancos y sobrepone una pantalla igual a la del banco por encima de la app legítima (este tipo de ataque se llama Overlay y es muy popular en aplicaciones web, pero no móviles).

El ataque es sorprendentemente sofisticado para lo que es habitual en bancos españoles. Tanto esmero en la copia de la página es raro en móviles Android y excepcional en malware dirigido a bancos españoles: "Ningún otro malware para empresas españolas se parecía tanto al banco legítimo. Lo más habitual era crear una página estándar y cambiar solo logo y color. Pero Ginp no: emula incluso una página de carga específica que tiene por ejemplo Bankia, incluso con los tiempos de carga de esas aplicaciones", explica Santiago Palomares, analista de malware en Threatfabric, que ha analizado el código de Ginp.


Después de la infección, los delincuentes tienen dos vías para robar: usar la tarjeta o hacer una transferencia. Si el código de confirmación llega por SMS, la misma app maliciosa puede reenviarlo. "Infectando el teléfono, tienes acceso a los SMS, de modo que si consigues las credenciales y los datos de la tarjeta significa que puedes realizar transacciones en casi cualquier comercio", dice Palomares.

Los analistas  de ThreatFabric han investigado recientemente una nueva cepa interesante del malware para bancos. El malware fue descubierto por primera vez por Tatyana Shishkova de Kaspersky finales de octubre de 2019, pero en realidad se remonta a junio de 2019. Todavía está en desarrollo activo, con al menos 5 diferentes versiones del troyano venta en los últimos 5 meses (06 hasta 11, 2019 ).

Lo que hace que se destaque Ginp es que fue construido desde cero siendo expandida a través de actualizaciones regulares, el último de los cuales, incluyendo el código copiado del Anubis troyano bancario

Su lista de objetivos original es extremadamente estrecho y parece estar centrado en los bancos españoles. Por último, pero no menos importante, todas las pantallas de superposición (inyecta) para los bancos incluyen dos pasos; primero robar credenciales de acceso de la víctima, entonces sus datos de la tarjeta de crédito. Aunque superposiciones de varios pasos no son algo nuevo, su uso se limita generalmente a no levantar sospechas.



Método de infección:

• la oleada principal ha sido a través de spam con un enlace por SMS. El troyano secuestra luego la lista de contactos y reenvía el enlace a otros usuarios. Una investigadora de Kaspersky, que fue la primera que publicó la existencia de Ginp, puso un ejemplo de uno de esos SMS, con una supuesta actualización de Android 10.
• Aplicaciones falsas Adobe Flash Player

La versión inicial del malware data de principios de junio de 2019 y se hace pasar por una aplicación "Google Play Verificator". En ese momento, Ginp era un simple ladrón de SMS cuyo propósito era solo enviar una copia de los mensajes SMS entrantes y salientes al servidor C2.

Un par de meses después, en agosto de 2019, se lanzó una nueva versión con características adicionales específicas de la banca. Esta y las siguientes versiones se hacían pasar por aplicaciones falsas de "Adobe Flash Player". El malware pudo realizar ataques de superposición y convertirse en la aplicación de SMS predeterminada a través del abuso del Servicio de Accesibilidad. La superposición consistió en un capturador de tarjetas de crédito genérico dirigido a aplicaciones sociales y de servicios públicos, como Google Play, Facebook, WhatsApp, Chrome, Skype, Instagram y Twitter.

Aunque las primeras versiones tenían algo de código básico y ofuscación de cadenas, la protección de la tercera versión del malware se mejoró con el uso de ofuscación de carga útil. Las capacidades se mantuvieron sin cambios, pero se agregó un nuevo punto final al Trojan C2 que le permite manejar la superposición de captura de tarjetas genéricas y las superposiciones de objetivos específicos (aplicaciones bancarias) por separado. Además, la lista de objetivos de captura de tarjetas de crédito se amplió con Snapchat y Viber.

En la tercera versión vista en la naturaleza, el autor introdujo partes del código fuente del infame troyano Anubis (que se filtró a principios de 2019). Este cambio vino de la mano con una nueva lista de objetivos de superposición, que ya no se dirige a las aplicaciones sociales, sino que se centra en la banca. Un hecho notable es que todas las aplicaciones específicas se relacionan con bancos españoles, incluidos objetivos nunca antes vistos en ningún otro troyano bancario de Android. Las 24 aplicaciones objetivo pertenecen a 7 bancos españoles diferentes: Caixa bank, Bankinter, Bankia, BBVA, EVO Banco, Kutxabank y Santander. Las aplicaciones específicas se pueden encontrar en la lista de objetivos en el apéndice.

La versión más reciente de Ginp (en el momento de la redacción) se detectó a fines de noviembre de 2019. Esta versión tiene algunas pequeñas modificaciones que parecen no usarse, ya que el comportamiento del malware es el mismo que la versión anterior. El autor ha introducido la capacidad de otorgar a la aplicación el permiso de administrador del dispositivo. Además, se agregó un nuevo punto final que parece estar relacionado con la descarga de un módulo para el malware, probablemente con nuevas características o configuración.
Cómo funciona

Cuando el malware se inicia por primera vez en el dispositivo, comenzará eliminando su ícono del cajón de aplicaciones, ocultándolo del usuario final. En el segundo paso, le pide a la víctima el privilegio del Servicio de Accesibilidad como se ve en la siguiente captura de pantalla:
Solicitud de accesibilidad de Ginp

Una vez que el usuario concede el privilegio del Servicio de Accesibilidad solicitado, Ginp comienza otorgándose permisos adicionales, como los permisos (dinámicos) necesarios para poder enviar mensajes y hacer llamadas, sin requerir ninguna acción adicional de la víctima. Cuando finaliza, el bot es funcional y está listo para recibir comandos y realizar ataques de superposición.

Los comandos admitidos por la versión más reciente del bot se enumeran a continuación. Como se puede observar, las posibilidades que ofrece el bot son bastante comunes.


Fuentes:
https://blog.segu-info.com.ar/2019/11/ginp-malware-para-android-con-bancos.html
https://www.threatfabric.com/blogs/ginp_a_malware_patchwork_borrowing_from_anubis.html
https://elpais.com/tecnologia/2019/11/22/actualidad/1574435744_271497.amp.html