Dopo essersi infiltrata in un telefono, la maggior parte deiย Trojan di mobile bankingย cerca di accedere agli SMS. Lo fanno per intercettare i codici di conferma usa e getta delle banche. Grazie a questi codici, i proprietari di malware possono effettuare un pagamento o sottrarre fondi senza che la vittima se ne accorga. Allo stesso tempo, moltiย Trojan per dispositivi mobiliย utilizzano i messaggi di testo per infettare piรน dispositivi inviandoย link dannosiย ai contatti della vittima.
Alcuneย app dannoseย sono piรน creative, utilizzano lโaccesso via SMS per inviare altro tipo di contenuti a vostro nome,ย come ad esempio messaggi di testo offensivi. Il malware Ginp,ย che abbiamo individuato per la prima volta lo scorso autunno, puรฒ persino creare sul telefono della vittima messaggi in entrata che nessuno ha effettivamente inviato, e non solo messaggi. Ma partiamo dallโinizio.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Di cosa รจ capace il Trojan Ginp
Allโinizio, il malware Ginp possedeva abilitร tipiche deiย Trojan bancari: inviava tutti i contatti della vittima ai suoi creatori, intercettava messaggi di testo, rubava i dati della carta di credito e sovrapponeva finestre di phishing alle applicazioni bancarie.
Per questโultimo scopo, il malware Ginp sfruttava leย autorizzazioniย della sezioneย Accessibilitร , un insieme di funzionalitร Android per gli utenti con disabilitร visive. Non รจ raro che i Trojan bancari e molti altri tipi di malware utilizzino queste funzioni, perchรฉ attraverso di esse ottengono lโaccesso visuale a tutto ciรฒ che appare sullo schermo e possono persino โtoccareโ i pulsanti o i link. A tutti gli effetti, possonoย prendere completamente il controllo del telefono.
Ma i creatori del malware Ginp non si sono fermati qui, hanno rifornito lโarsenale con funzionaliร piรน creative. Ad esempio, il malware ha iniziato a utilizzare notifiche push e messaggi pop-up per indurre le vittime ad aprire determinate app, quelle a cui puรฒ sovrapporre delle finestre di phishing. Le notifiche sono abilmente formulate in modo da indurre gli utenti ad aspettarsi di vedere un modulo per lโinserimento dei dati delle carte di credito. Qui di seguito un esempio (in spagnolo):
Google Pay: Nos faltan los detalles de su tarjeta de crรฉdito o dรฉbito. Utilizza il Play Store per concordare i dati della tua carta di credito.
(โGoogle Pay: Mancano i dati della carta di credito o di debito. Si prega di utilizzare lโapplicazione Play Store per aggiungerli in modo sicuroโ).
Nel Play Store gli utenti vedono un modulo per lโinserimento dei dati della carta come previsto. Tuttavia, รจ il Trojan che mostra il modulo, non Google Play, e i dati inseriti vanno direttamente ai criminali informatici.
Una finta (e purtroppo molto convincente) finestra per lโinserimento dei dati della carta di credito, visualizzata in quella che sembra essere lโapp del Play Store
Ginp va oltre il Play Store, mostrando anche quelle che sembrano notifiche da app bancarie:
B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26
Intermezzo promozionale ... continua la lettura dopo il box:
(โB**A: Attivitร sospetta rilevata sul conto B**A. Si prega di controllare le transazioni recenti e chiamare il numero 91 *** ** ** 26โ)
Curiosamente, leย false notificheย forniscono un numero di telefono reale della banca, quindi se si chiamasse, lโimpiegato di banca potrebbe dirvi che il vostro conto รจ a posto. Ma se si esaminano le โtransazioni sospetteโ prima di chiamare la banca, ilย malware Ginpย sovrappone allโapplicazione bancaria una finestra falsa e chiede i dati della carta.
SMS falsi ma molto convincenti
Allโinizio di febbraio, il nostro sistema Botnet Attack Tracking ha rilevato unโaltra nuova caratteristica di Ginp: la possibilitร di creare SMS falsi. Lo scopo รจ lo stesso di prima, indurre lโutente ad aprire lโapplicazione. Adesso perรฒ il Trojan puรฒ generare messaggi SMS con qualsiasi testo e che sembrano provenire da qualsiasi mittente. Nulla impedisce ai cybercriminali di falsificare i messaggi delle banche o di Google.
Un messaggio, che sembra provenire da una banca, chiede allโutente di confermare un pagamento nellโapplicazione mobile
Mentre gli utenti spesso mettono da parte leย notifiche pushย senza leggerle, prima o poi i ย messaggi SMS in arrivo vengono letti. Ciรฒ significa che cโรจ una buona probabilitร che un determinato utente apra lโapp per controllare cosa sta succedendo sul suo conto. Ed รจ allora che ilย Trojan si trasforma in un modulo falsoย per lโinserimento dei dati della carta.
Come difendersi da Ginp
Al momento, lโobiettivo principale di Ginp sono gli utenti in Spagna, ma la sua tattica รจ giร cambiata una volta e potrebbe cambiare di nuovo. In passato il suo raggio di azione coinvolgeva anche la Polonia e il Regno Unito. Quindi, anche se vivete altrove, ricordate sempre leย regole di base della sicurezza informatica. Per evitare di essere vittima deiย Trojan bancari:
- Scaricate le applicazioni solo da Google Play;
- Bloccate lโinstallazione di programmi da fonti sconosciute nelle impostazioni di Android;
- Non fate tap sui link nei messaggi di testo, soprattutto se il messaggio vi sembra in qualche modo sospetto (ad esempio se un amico vi invia inaspettatamente un link a una foto invece di inviare lโimmagine con unโapp di messaggistica o sui social);
- Non date permessi di accessibilitร a nessuna app che li richieda. Pochissime app hanno veramente bisogno di questo tipo di autorizzazione cosรฌ potente;
- Diffidate delle app che vogliono accedere ai vostri SMS;
- Installate una soluzione di sicurezza affidabile sul vostro telefono. Ad esempio, Kaspersky Internet Security rileva Ginp e molte altre minacce.
Fonte : https://www.kaspersky.it/blog/ginp-mobile-banking-trojan/19936/
