Um Malware do Android Exige Pagamento pelo Mapa 'Localizador do Coronavirus'
Os pesquisadores de segurança estão alertando contra um novo Trojan bancário baseado no Android. A ameaça engana os usuários, levando-os a compartilhar os detalhes do cartão em troca de informações falsas sobre a identidade do COVID-19 infectado em sua área imediata.
O Trojan Ginp já foi visto operando antes, com pesquisadores da Kaspersky observando campanhas usando-o, especificamente na Espanha. Foi utilizado para enganar as pessoas e fazê-las compartilhar seus detalhes financeiros. A convenção de nomenclatura da nova versão atualmente em circulação mostra que ela pode estar se preparando para se tornar global em esforços para enganar mais usuários.
Índice
O Ginp Trojan Usa Mapas Falsos e o Medo da Pandemia
Essa última versão atua abrindo uma página no dispositivo Android da vítima. O "Localizador do Coronavirus" afirma mostrar um mapa que detalha o número de pessoas na área local do visualizador que contraíram o vírus. Enquanto usam a engenharia social, as pessoas por trás do Trojan Ginp estão concentrando os seus esforços nas pessoas vulneráveis durante a pandemia, pedindo €0,75 para ver o mapa com supostas infecções e identidades.
Alexander Eremin, um analista de malware da Kaspersky, mencionou que Ginp depende de várias iscas diferentes para garantir que seus usuários compartilhem seus dados de cartão de crédito em formulários. Isso permite que os agentes de ameaças roubem os dados sem muito esforço envolvido. "Se você adivinhou que esta página da wWb é apenas mais uma forma destinada a roubar dados - você adivinhou certo", mencionou Eremin.
Depois que os dados de crédito são preenchidos, eles são coletados pelos criminosos. Não existe um mapa real de pessoas reais com infecções; as pessoas por trás do malware nem mesmo cobram a soma listada. O resultado desse golpe é que os atores da ameaça roubam as credenciais bancárias de usuários crédulos e saem com eles.
Os usuários são aconselhados a baixar aplicativos apenas do mercado Google Play, usando anti-vírus ou anti-malware nos seus dispositivos. Outra etapa que eles executam é não conceder permissão de acessibilidade a aplicativos que a solicitem, exceto aplicativos de segurança legítimos.
Como o Trojan Ginp Surgiu?
A primeira versão encontrada por pesquisadores de segurança remonta ao início de junho de 2019. Ele fingia ser um aplicativo 'Google Play Verificator'. Naquela época, era pouco mais do que um simples ladrão de SMS, cujo objetivo era enviar cópias de mensagens recebidas e enviadas para um servidor de comando e controle.
Meses depois, em agosto de 2019, foi lançada uma nova versão com recursos mais especializados e voltados para o setor bancário. Essa versão e as posteriores fingiam ser aplicativos do 'Adobe Flash Player'. O malware pode realizar ataques de sobreposição, além de ser o aplicativo SMS padrão. Isso permitiu que abusasse do Serviço de Acessibilidade. A sobreposição foi feita com um ladrão de cartão de crédito genérico que tem como objetivo aplicativos utilitários e sociais, como WhatsApp, Skype, Chrome, Instagram, Twitter, Facebook e Google Play.
Embora as primeiras versões possuam um nível de ofuscação de string e código, a proteção das seguintes versões do malware foi aprimorada com a ofuscação de carga útil. Os recursos do malware permaneceram inalterados, mas esse endpoint (software de proteção) foi adicionado ao servidor de Comando e Controle. A mudança permitiu lidar com a sobreposição do ladrão de cartão de crédito e ter sobreposições de destino específicas operando separadamente. A lista de aplicativos visados pelas mudanças incluiu Viber e Snapchat.
O Trojan Ginp Evolui para Roubar Informações Bancárias
Na terceira versão do malware, o autor usou partes do Trojan Anubis. Essa mudança foi combinada com mudanças na lista de alvos de sobreposição, deixando de focar em aplicativos sociais e focando em bancos. Os aplicativos direcionados estavam relacionados a bancos espanhóis, que incluíam alvos nunca antes vistos em outros Trojans bancários Android. Vinte e quatro deles estavam relacionados a 7 bancos espanhóis: Bankinter, Evo Banco, BBVA, Kutxabank, Santander e Caixa Bank.
A versão mais recente do Ginp até agora foi detectada no final de novembro de 2019. A versão tem modificações que parecem não ser utilizadas no momento, mas o comportamento do malware não teve diferenças em relação à versão anterior. O autor do malware adicionou funcionalidade de permissão de administrador, com um novo endpoint adicionado para baixar um módulo para o malware.