Банковский Android-троян Ginp

Мобильные банковские трояны, проникнув на телефон, обычно пытаются получить доступ к SMS. Им это нужно для того, чтобы перехватывать одноразовые коды подтверждения операций, которые отправляют банки. Получив такой код, владельцы зловреда могут от имени жертвы совершить платеж или перевести деньги на свой счет. Многие мобильные трояны, чтобы заразить побольше устройств, рассылают ссылку на скачивание себя по всему списку контактов жертвы.

ginp-1 

Троян Ginp попадает на смартфоны пользователей через APK-файлы со сторонних ресурсов в Сети. После загрузки троян удаляет собственную иконку из меню приложений, чтобы пользователь не мог избавиться от него обычным способом, если заподозрит что-то неладное. Охотясь за данными вашей банковской карты, зловред перекрывает приложения фейковыми окнами и подделывает SMS, чтобы заставить вас эти приложения открыть. Это вредоносное ПО, которое впервые обнаружили осенью прошлого года, умеет создавать на телефоне жертвы входящие SMS, которых на самом деле никто не посылал!

Что еще умеет банковский троян Ginp

Изначально Ginp обладал довольно стандартным для банковских троянов набором умений: отправлял полный список контактов жертвы своим создателям, перехватывал SMS и воровал данные банковских карт, перекрывая окна приложений фишинговыми страницами. Для этого зловред пользовался «Специальными возможностями» — набором функций Android для слабовидящих пользователей (многие программы-шпионы и другие зловреды очень любят эти функции за то, что они позволяют приложению «видеть» все, что отображается на экране).

Впоследствии авторы Ginp не раз пополняли его арсенал, добавляя более оригинальные возможности. Так, зловред начал использовать push-уведомления и всплывающие сообщения, чтобы убедить жертву открыть нужное ему приложение — из числа тех, которые банковский троян умеет перекрывать фейковой страницей. Текст уведомлений усыпляет бдительность пользователя, он построен так, чтобы далее ожидалась форма ввода данных банковскоой карты, например, «Google Pay: нам не хватает данных вашей кредитной или дебетовой карты. Используйте Play Маркет, чтобы безопасно их добавить».

Если пользователь поверит и откроет «Play Маркет», он увидит вполне ожидаемое окно для ввода данных карточки. Вот только на самом деле форму ввода данных карты покажет не Google Play, а троян — и эти данные отправятся хозяевам зловреда. Фейковое окно, к сожалению, выглядит вполне убедительно.

Ginp не ограничивается Play Маркетом, он выводит уведомления и от имени банковских приложений: «B**A: подозрительная активность в вашем аккаунте B**A. Пожалуйста, проверьте последние транзакции и позвоните 91* *** ** **». Любопытно, что указан настоящий телефон банка, и на том конце провода скорее всего скажут, что с вашим счетом все в порядке. Но если вы решите проверить «подозрительные транзакции» через приложение, что, кажется, вполне логично сделать перед тем, как звонить в банк, зловред перекроет его фейковым окном и потребует данные карточки.

Интересно, что Ginp способен имитировать банковское приложение, повторяя во многом его интерфейс. В итоге мошенники с легкостью могут получить доступ к профилю, паролям и персональным данным пользователя, связанным с его кредитными картами и банковскими счетами.

Еще одна новая способность Ginp: создавать фейковые входящие SMS. Задача у них все та же — убедить пользователя открыть нужное приложение и усыпить бдительность. При этом ничто не мешает злоумышленникам сгенерировать SMS с любым текстом и указать любого отправителя, например ваш банк. Если push-уведомления пользователь может смахнуть не глядя, то входящую SMS он, скорее всего, рано или поздно увидит и прочитает. И с большой вероятностью откроет приложение, чтобы проверить, что происходит с его счетом. В этот-то момент троян и подсунет ему фейковую форму для ввода данных карты.

Как защититься от банковского трояна Ginp

Экспертам ThreatFabric удалось установить, что больше всего от вируса пострадали устройства пользователей в Испании. Но злоумышленники заинтересованы в том, чтобы увеличить географию распространения вредоносного ПО на территории других стран.
Чтобы избежать заражения вирусом Ginp:

  • Скачивайте приложения только из Google Play.
  • Запретите установку программ из сторонних источников в настройках устройства, так вы сведете к минимуму вероятность заражения.
  • Не переходите по ссылкам из SMS, особенно если сообщение вызывает вопросы. Если друг неожиданно шлет фото в виде ссылки в текстовом сообщении, а не через соцсеть или мессенджер, — это подозрительно.
  • Не давайте приложениям разрешения на доступ к «Специальным возможностям» — программ, которым они действительно нужны, крайне мало.
  • C осторожностью относитесь к приложениям, которые требуют доступ к SMS.
  • Установите надежное защитное решение: антивирус для Android.

По материалам сайтов kaspersky.ru, andro-news.com, bleepingcomputer.com

Яндекс.Метрика