Cada vez es más habitual que usemos la aplicación de nuestro banco en Android. Para muchos usuarios, una acción común es abrir dicha aplicación en el teléfono con cierta frecuencia. Una acción que ahora podría ser peligrosa, debido a Ginp, un troyano que se ha descubierto y parece estar centrándose en España de forma concreta.
Este malware se hace pasar por la aplicación de banco original que el usuario tiene en su teléfono Android. La finalidad es la de obtener las credenciales de acceso a la aplicación, el número de tarjeta de crédito y código CCV del usuario, para poder obtener de esta manera su dinero, sin que el usuario lo sepa. Threatfabric ha sido la encargada de descubrir el código de este malware.
Ginp: Un malware sofisticado
Un aspecto que está sorprendiendo mucho es la sofisticación de Ginp. La aplicación que suplanta a la aplicación del banco original es idéntica a la real. Apenas se pueden encontrar diferencias entre las dos aplicaciones, lo que muestra el esmero del atacante en este sentido. Consigue que el usuario vaya a introducir sus datos en esta aplicación en Android, sin que se de cuenta de que es una aplicación falsa.
Otro aspecto que llama la atención es que este ataque se dirige de forma específica a bancos españoles. Son siete los bancos afectados, siete aplicaciones:
- Bankia.
- Bankinter.
- BBVA.
- Caixabank.
- EVO Banco.
- Kutxabank.
- Banco Santander.
Millones de usuarios se podrían ver afectados por Ginp, por tanto. No se sabe muy bien el motivo por el que se ataca a usuarios y bancos en España, aunque parece que se trata de un grupo de atacantes extranjero.
Los atacantes tienen dos vías para robar: usando la tarjeta o haciendo una transferencia. Este malware tiene la capacidad de que si el código de confirmación que te manda el banco llega por SMS, la propia app lo puede reenviar. Se obtiene acceso al teléfono y a todas las credenciales del usuario de esta manera.
Cómo puede llegar a tu móvil
Una de las grandes preguntas es la forma en la que Ginp se ha colado en los teléfonos Android. Una de las maneras más habituales en su caso ha sido mediante spam, con enlaces en mensajes SMS, haciendo que los usuarios pulsaran en dicho enlace. También se ha sabido que se ha distribuido mediante anuncios web, en los que salta un pop up pidiendo instalar «Adobe Flash Player» en el teléfono. No se sabe aún con seguridad, pero otro método que podría haber sido usado es mediante alguna aplicación infectada en Google Play.
Ginp ha tenido varias versiones a lo largo de este 2019, esta es ya la quinta de ellas, creada en el mes de junio. Esta nueva versión utiliza además algunos elementos de Anubis, un conocido malware bancario, que ha causado muchos problemas estos últimos tres años. Y no es el único.