Der Ginp Trojan ist ein Android-Malware, die in einen ihrer jüngsten Angriff Kampagnen durch einen Sicherheitsforscher identifiziert wurden. Die Proben, die bei dem Angriff Kampagne Datum bis Ende Oktober gestartet werden geglaubt werden 2019 jedoch einige der ersten Fälle der Bedrohung wurden im Juni festgestellt worden,. Diese Daten zeigen, dass die Ransomware wird aktiv von den Hackern entwickelt. Seit seiner ersten Veröffentlichung fünf wichtigsten Updates sind bekannt.
Es wird in erster Linie über mobile Apps auf Google Play und anderen Repositories gehostet verbreiten. Sobald es auf einem bestimmten Gerät installiert ist, wird es eine Bank Malware-Engine zu starten, die Finanzdaten ernten und für verschiedene Verbrechen verwendet werden.
Ginp Trojan März 2020 Update - Corona Kampagne
Im Anschluss an die COVID-19 corona haben Pandemie Computer-Kriminelle begannen im Zusammenhang verschiedene Virus zu leiten Kampagnen Phishing. Eines der jüngsten Beispiele ist ein Ginp Trojan Großeinsatz. Die Kriminellen dahinter aussenden gefälschte Textnachrichten gegen die beabsichtigten Opfer. Wenn der Empfänger mit der Nachricht in Wechselwirkung treten wird der Trojaner installiert werden. Der Inhalt der SMS nutzt die Corona Panik. Die eigentliche Verbindung, die in der Nachricht gesendet wird, wird ein Skript ausführen, das die Ginp Trojan bereitstellen werden. Es wird ein Befehl starten, der eine wir bpage öffnet genannt corona Finder. Die Website wird gelesen, dass es Menschen in der Nähe, die von COVID-19 kontaminiert ist. Die Besucher werden in die Zahlung der Seite manipuliert werden, die Summe aus 0.75 Euro, um ihre Lage zu entdecken.
Neben den Nachrichten gibt es andere Taktiken, die verwendet werden können, um die Opfer zu zwingen, mit dem Hacker-gesteuerte Website interagieren: Pop-ups, Umleitungen und etc.
Der Ginp Trojan gehört zu den gefährlichsten Banking Malware für Android
Android Malware ist eine der am weitesten verbreiteten Bedrohungen, die Endanwendern heute konfrontiert. Dies ist auf die Tatsache zurückzuführen, dass vielen Hacker-Kollektiv auf der Entwicklung von Viren für das mobile Betriebssystem geschickt worden ist. Die Plattform hat eine Menge von Bedrohungen gesehen und entsprechend der verfügbaren Informationen ist es auf der Grundlage der bekannte Anubis Malware. Die ersten Versionen dieser Trojaner wurden auf dem Google Play Store und anderen Repositories unter dem Namen veröffentlicht Google Play Checker in einem Versuch, Betrug der Besucher in der Installation. Diese Taktik dreht sich um die übliche Technik der Schaffung gefährliche Anwendung, die als nützliche System-Dienstprogramme maskierte.
Im Fall dieser ersten Proben hat die Ginp Trojan nicht viel von der reichen Funktionalität besitzen, für die es bekannt ist,. Beim Start wird es die gespeicherten SMS-Nachrichten ernten und es auf einen bestimmten Hacker-kontrollierten Server senden. Nur wenige Monate nach der ersten Version der Kriminellen ein viel aktualisiert Ginp Trojan Release erstellt haben.
Ungepatchte Android Bug Versetzt Besitzer von Samsung, Xiaomi Phones at Risk
Die Ginp Trojan und seine Latest Release
Nachrichten brachen über die neue Version der Bedrohung, die ein viel mehr funktionsreiche Verhaltensmuster kennzeichnet. Dieses Mal ist die Malware-Träger, die als Host es genannt werden Adobe Flash Player und sie können sowohl auf Google Play und auf anderen Repositories gehostet werden. Wenn die Verbrecher eine immer größere Verbreitung Kampagne erstellen möchten können sie an anderen Orten verwenden, bei denen das Virus Dateien (in Archiven oder APK Form) kann gehostet werden:
- Unterlagen - Makro-Infizierte Dokumente können verwendet werden, um die Virus-Datei auf Zielgeräte zu liefern. Wenn die Opfer sie eröffnen eine Aufforderung fragt sie sie, um zu ermöglichen, richtig den Inhalt anzuzeigen. Die Makros sind spezielle Skripte, die den Viruscode ohne dass der Benutzer dies bemerkt wird extrahieren und ausführen.
- Andere APK-Pakete - Der Hacker kann eine Vielzahl von anderen gefährlichen App Bundles erstellen. Normalerweise sind die beliebtesten Anwendungen gezielt als ihre Identität leicht gefälscht werden können,.
- Malware von Drittanbietern Hosts - Ginp Trojan-Dateien können auf Hacker gepflegt Websites und Links gehostet werden, um es zu sozialen Netzwerken Profilen von gefälschten oder gehackten Konten hinzugefügt. Normalerweise interaktiver Code auf den Webseiten platziert wird, die ständig “Standort” die Website-Besucher mit allen Arten von Inhalten (Banner, Pop-ups und Umleitungen) in das Herunterladen oder eine Datei ausgeführt wird.
In Anbetracht der Tatsache, dass die Ginp Trojan als Banking-Trojaner eine der am häufigsten verwendeten Strategien wären eingestuft zu ersinnen Phishing-Kampagnen. Sie können sowohl E-Mails oder Hacker gesteuerte Websites verwenden, die auf ähnlich klingenden Domain-Namen zu dem bekannten Dienstleistungen oder Unternehmen zu finden sind.
Fähigkeiten des Ginp Trojan auf Android
Der Zugang zu den verschiedenen Ginp Trojan Proben und die neuesten Versionen können wir feststellen, dass die aktuellen Versionen fortgeschritten sind. Zwar gibt es keine Informationen über das Hacking Kollektiv darüber, die Verbrecher waren in der Lage eine reiche Liste der Features zu entwickeln,.
Sobald die Bedrohung auf einer bestimmten Maschine ausgeführt wird, wird die App auf das Symbol von der Trägerrakete entfernen, die es unmöglich machen, wird es für sie für den Zugriff auf die gewöhnliche Art und Weise unter Verwendung von. Der nächste Schritt ist eine Aufforderung zum Laichen, die die Opfer fragen die ermöglichen, Accessibility-Service. Dies kann als eine gewöhnliche und unschuldig aussehende Anfrage erscheint jedoch dies der Haupt Infektion Motor ermöglicht mehr gefährliche Aktionen auszuführen. Die vollständige Liste der Funktionen in den neuesten Versionen zu finden ist die folgende:
- Senden einer SMS-Nachricht an eine angegebene Nummer
- Aktualisieren der URL des Hacker-kontrollierten Server
- Das Deaktivieren des Virus
- Aktualisieren des Aktualisierungsintervall
- Liste Entleeren der überlagerten Anwendungen
- Zielliste aktualisieren
- Geräteverwaltung Anforderung von Berechtigungen
- Retrieval von SMS-Nachrichten
- Das Deaktivieren des Benutzer versucht, das Prompts Trigger Überwindung
- Festlegen einer Malware als Standard-SMS-App
- Das Entfernen des Malware aus der Standard-SMS-App
- Aktivieren der Overlay-Attacken
- Deaktivieren der Overlay-Attacken
- Aktivieren der Google Play-Overlay
- Deaktivieren der Google Play-Overlay
- Debug-Modus starten
- Log-Dateien Retrieval
- Debug-Modus deaktivieren
- Liste alle installierten Anwendungen
- Liste aller Kontakte
- Sendet SMS an mehrere Numberes
- Paket-Update
- Neue Overlay Zusatz
- Anrufweiterleitung
- Berechtigungen anfordern starten
- TEXT HIER
Überblick über einen Ginp Trojan Angriff
Wie anderer ähnlicher Banking-Trojaner wird der Motor automatisch scannen das infizierte Android-Gerät für häufig verwendete sozialen Netzwerk-Anwendungen oder mobile Bankdienstleistungen. Das Virus wird Setup ein unsichtbares Overlay auf der was bedeutet, dass alle Benutzer-Interaktionen werden von den Hackern gesteuert und überwacht werden. Mit einer speziellen Netzwerkverbindung wird alle Daten in Echtzeit an die Kriminellen übertragen werden. Der Ginp Trojan als anspruchsvoll Android Bedrohung ermöglicht die kriminelle Gruppe auch eine umfangreiche Liste von Funktionen ausführen (siehe oben).
Die Absicht ist es, Monitor für die Benutzereingabe persönliche Daten und Kreditkarteninformationen. Die untersuchten Proben wurden mit den folgenden Anwendungen kompatibel sein gefunden:
Facebook, WhatsApp, Skype, Zwitschern, Chrom, Instagram, Snapchat und Viber
Eine Liste der mobilen Bankanwendungen, die unterstützt werden, ist die folgende:
Spielladen, CaixaBank Pay: Mobile Payments , CaixaBank, Melden CaixaBank – Digitale Koordinatenkarte, CaixaBank Tablet, imaginBank – Ihre Mobilbank, Familie, Bankinter Mobil, Bankinter Wallet, COINC Wallet, bankintercard, Bankia, Bankia Wallet, Bankia Tablet, BBVA Spanien, BBVA Nettoliquidität | ES & PT, EVO Banco Mobil, EVO büsum, Kutxabank, KutxabankPay, Santander, santa~~POS=TRUNC Tablet, Bestätigen Santander und Santander Cash-Nexus.
Das Overlay kann eine Kreditkarte prompt präsentieren, die in einigen Situationen als legitim wahrgenommen werden können und sicher. Die Informationen, die Ernte Motor auch aktualisiert werden viele der beliebten Banking-Anwendungen zu unterstützen. Einige der erfassten Proben erscheinen funktionale Unterstützung von Lösungen von spanischen Finanzinstituten betrieben umfassen. Da die Angriffe entfalten weiterhin erwarten wir, dass detailliertere Informationen werden sowie die kompromittiert Ziele auf die Identität der Hacker zur Verfügung stehen.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: