Trojan mobilny Ginp preparuje SMS-y odebrane

Polując na informacje związane z kartą płatniczą, szkodliwy program nakłada na aplikacje strony phishingowe i używa fałszywych powiadomień, aby nakłonić ofiarę do otwarcia ich.

Po przedostaniu się na telefon większość mobilnych trojanów bankowych próbuje uzyskać dostęp do wiadomości SMS. Celem jest przechwycenie jednorazowych kodów potwierdzających, które wysyłają banki. Dzięki nim właściciel szkodliwego programu może potajemnie dokonać płatności online lub wypłacić pieniądze. Ponadto wiele trojanów mobilnych używa wiadomości tekstowych do zainfekowania jeszcze większej liczby urządzeń, wysyłając do kontaktów znajdujących się na liście znajomych łącze do pobrania szkodliwego zasobu.

Niektóre szkodliwe aplikacje wykazują się większą kreatywnością, używając dostępu do SMS-ów do dystrybucji w Twoim imieniu np. obraźliwych wiadomości tekstowych. Szkodnik Ginp, który wykryliśmy po raz pierwszy ubiegłej jesieni, potrafi nawet tworzyć na telefonie ofiary wiadomości odebrane (i nie tylko), których w rzeczywistości nikt nie wysłał. Ale zacznijmy od początku.

Co potrafi trojan mobilny Ginp?

Najpierw Ginp miał całkiem standardowy jak na trojana bankowego zestaw umiejętności. Wysyłał on do swoich autorów listę kontaktów z urządzenia ofiary, przechwytywał wiadomości tekstowe, kradł dane kart płatniczych i nakładał na aplikacje bankowe okna phishingowe.

Później wykorzystywał Dostępność, czyli zestaw funkcji w systemie Android przeznaczonych dla użytkowników z wadą wzroku. To nic nadzwyczajnego; trojany bankowe, podobnie jak wiele innych szkodliwych programów, używają tych funkcji, ponieważ dzięki nim mogą uzyskać wizualny dostęp do wszystkiego, co znajduje się na ekranie, a nawet mogą klikać przyciski czy łącza — w efekcie mogą całkowicie przejąć kontrolę nad telefonem.

Jednak autorzy Ginpa nie poprzestali na tej możliwości, wielokrotnie uzupełniając swój arsenał o inne opcje. Na przykład ten szkodliwy program zaczął wykorzystywać powiadomienia push oraz wiadomości wyskakujące, nakłaniając ofiarę do otwarcia określonych aplikacji — takich, na których wierzchu mógł nakładać okna phishingowe. Powiadomienia były przygotowane tak, aby uśpić czujność użytkownika. Wyświetlały one formularz wprowadzania danych karty bankowej. Poniżej prezentujemy przykład (w języku hiszpańskim):

Google Pay: Nos faltan los detalles de su tarjeta de crédito o débito. Utilice Play Store para agregarlos de manera segura.
("Google Pay: Wprowadź dane swojej karty bankowej. Aby bezpiecznie je wprowadzić, użyj aplikacji ze Sklepu Play".)

W aplikacji Sklepu Play użytkownicy widzą formularz służący do wprowadzania danych bankowych. Jednak tak naprawdę to trojan wyświetla ten formularz, a nie sklep Google Play — a wprowadzone dane trafiają wprost w ręce cyberprzestępców.

Fałszywe — i niestety bardzo przekonujące — okno służące do wprowadzania danych bankowych, które teoretycznie pojawia się w aplikacji ze Sklepu Play

Ginp jest związany nie tylko ze Sklepem Play — udaje też powiadomienia z aplikacji służących do bankowości:

B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26.
("B**A: Na Twoim koncie B**A wykryto podejrzaną aktywność. Sprawdź ostatnie transakcje i zadzwoń na numer 91 *** ** 26")

Co ciekawe, fałszywe powiadomienia zawierają prawdziwy numer telefonu do banku, zatem jeśli zadzwonisz, prawdopodobnie dowiesz się, że z Twoim kontem nie dzieje się nic nadzwyczajnego. Jeśli jednak zajrzysz do „podejrzanych transakcji”, zanim zadzwonisz do banku, szkodliwy program nałoży na aplikację bankową fałszywe okno i poprosi o wprowadzenie danych logowania.

Bardzo przekonujące fałszywe SMS-y

Na początku lutego nasz system Botnet Attack Tracking wykrył kolejną nową funkcję w Ginpie: możliwość tworzenia fałszywych wiadomości przychodzących. Cel jest taki sam — nakłonienie użytkownika do otwarcia aplikacji — jednak tym razem trojan potrafi generować SMS-y z dowolną treścią i od dowolnego nadawcy. W ten sposób atakujący mogą tworzyć fałszywe wiadomości  pochodzące rzekomo z banków lub od firmy Google.

Wiadomość wysłana rzekomo przez bank, w której użytkownik jest proszony o potwierdzenie płatności w aplikacji mobilnej

Nawet jeśli użytkownik otworzy powiadomienie push, wcześniej czy później i tak odczyta odebrane SMS-y. Oznacza to, że istnieje duża szansa, że otworzy aplikację, aby sprawdzić, co się dzieje z jego kontem. W taki właśnie sposób trojan w wyświetlający fałszywy formularz zdobywa wprowadzane dane.

Jak zapewnić sobie ochronę przed trojanem Ginp

Aktualnie Ginp atakuje przeważne w Hiszpanii, ale jego obecność zarejestrowano już w Polsce oraz Wielkiej Brytanii. A więc bez względu na to, gdzie mieszkasz, zawsze pamiętaj o stosowaniu zasad cyberbezpieczeństwa. Aby nie paść ofiarą trojanów bankowych:

  • Aplikacje pobieraj wyłącznie z oficjalnych sklepów, np. Google Play.
  • W ustawieniach systemu Android zablokuj możliwość instalacji programów z nieznanych źródeł. W ten sposób zmniejszysz ryzyko infekcji niepożądaną aplikacją.
  • Nie klikaj łączy zawartych w wiadomości tekstowej, zwłaszcza jeśli w jakiś sposób wzbudza ona Twoje wątpliwości — na przykład jeśli znajomy nieoczekiwanie wysłał Ci łącze do zdjęcia, zamiast dołączyć je w wiadomości lub udostępnić przez media społecznościowe.
  • Nie dawaj uprawnień Dostępności wszystkim aplikacjom, które o nie proszą — niewiele programów tak naprawdę potrzebuje ich w tak szerokich wachlarzu.
  • Zwracaj uwagę na aplikacje, które chcą mieć dostęp do Twoich wiadomości.
  • Zainstaluj na swoim telefonie niezawodne rozwiązanie antywirusowe. Na przykład Kaspersky Internet Security for Android bez problemu wykrywa Ginpa i wiele innych zagrożeń.
Porady