Le cheval de Troie est un Ginp malware Android qui a été identifié par un chercheur en sécurité dans une de ses campagnes d'attaque récentes. Les échantillons qui sont censés être lancés à la date de la campagne d'attaque à la fin Octobre 2019 Cependant quelques-uns des premiers cas de la menace ont été détectés en Juin. Cela montre de données que le ransomware est activement développé par les pirates. Depuis sa première version cinq mises à jour majeures sont connues.
Il se propage principalement via des applications mobiles hébergées sur Google Play et d'autres référentiels. Dès qu'il est installé sur un périphérique donné lancera un moteur malware bancaire qui récolte les données financières et être utilisées pour divers crimes.
Ginp cheval de Troie Mars 2020 Mise à jour - Coronavirus Campagne
A la suite des criminels informatiques en cas de pandémie Covid-19 coronavirus ont commencé à diriger plusieurs campagnes de phishing liés aux virus. L'un des derniers exemples est une opération à grande échelle Ginp cheval de Troie. Les criminels derrière elle envoient messages texte contrefaits contre les victimes visées. Si les destinataires interagissent avec le message le cheval de Troie sera installé. Le contenu du SMS profitent de la panique coronavirus. Le lien réel qui est envoyé dans le message exécutera un script qui va déployer le cheval de Troie Ginp. Il va commencer une commande qui ouvre une bpage de nous avons appelé coronavirus Finder. Le site lu qu'il ya des gens qui sont à proximité contaminées par Covid-19. Les visiteurs seront manipulés à payer la page de la somme 0.75 Euro afin de découvrir leur emplacement.
A côté des messages il y a d'autres tactiques qui peuvent être utilisées pour exercer des pressions sur les victimes en interaction avec le site contrôlé pirate informatique: pop-ups, etc et réoriente.
Le Ginp cheval de Troie est parmi les plus dangereux Banque Malware pour Android
Android logiciels malveillants sont l'une des menaces les plus répandues que les utilisateurs finaux sont confrontés aujourd'hui. Cela est dû au fait que de nombreux collectifs de piratage sont devenus aptes à développer des virus pour le système d'exploitation mobile. La plate-forme a vu beaucoup de menaces et d'après les informations disponibles, il est basé sur la bien connu des logiciels malveillants Anubis. Les premières versions de ce cheval de Troie ont été libérés sur le magasin Google Play et d'autres référentiels sous le nom Google Play Checker dans une tentative d'escroquerie les visiteurs dans l'installer. Cette tactique tourne sur la technique commune de créer l'application dangereuse qui sont masquées comme des utilitaires système utiles.
Dans le cas de ces premiers échantillons le Ginp cheval de Troie ne possédait pas une grande partie de la richesse fonctionnelle pour laquelle il est connu. Lors de son lancement, il récoltera les messages SMS stockés et l'envoyer à un serveur contrôlé hacker spécifié. Seulement quelques mois après la version initiale, les criminels ont créé une Ginp beaucoup plus mis à jour version cheval de Troie.
Bug Android non corrigée Puts Les propriétaires de Samsung, Téléphones Xiaomi à risque
Le cheval de Troie Ginp et sa dernière version
Nouvelles ont éclaté au sujet de la nouvelle version de la menace qui dispose d'un beaucoup plus modèle de comportement riche en fonctionnalités. Cette fois, les porteurs de programmes malveillants qui hébergent ce sont appelés Adobe Flash Player et ils peuvent être hébergés à la fois sur Google Play et sur d'autres référentiels. Si les criminels ont l'intention de créer une campagne de distribution de plus en plus, ils peuvent utiliser d'autres endroits où les fichiers de virus (dans les archives ou sous forme de APK) peut être hébergé:
- Documents - Documents Macro-infectés peuvent être utilisés pour fournir le fichier de virus à des périphériques cibles. Lorsque les victimes les ouvrir une invite leur demandera de leur permettre afin d'afficher correctement le contenu. Les macros sont des scripts spéciaux qui extraira et exécuter le code du virus à l'insu de l'utilisateur.
- Autres paquets APK - Les pirates peuvent créer une variété d'autres faisceaux d'applications dangereuses. Habituellement, les applications les plus populaires sont ciblées comme leur identité peut être facilement truquées.
- Malware hôtes de tiers - Les fichiers Ginp de Troie peuvent être hébergés sur des sites Web mis à jour hacker et des liens vers elle ajouté aux profils de réseaux sociaux de comptes faux ou piraté. Habituellement, le code interactif est placé sur les sites web qui sera constamment “site” les visiteurs du site avec tous les types de contenus (bannières, pop-ups et les redirections) en téléchargement ou l'exécution d'un fichier.
Compte tenu du fait que le cheval de Troie Ginp est classé comme un cheval de Troie bancaire un des stratégies les plus utilisées serait de concevoir campagnes de phishing. Ils peuvent utiliser les messages électroniques ou des sites contrôlés pirates qui se trouvent sur les noms de domaine similaires à des services de sondage ou des sociétés bien connues.
Capacités des Ginp cheval de Troie sur Android
L'accès aux différents échantillons Ginp Trojan et les dernières versions, nous pouvons affirmer que les versions actuelles sont avancées. Bien qu'il n'y ait aucune information sur le collectif de piratage à ce sujet, les criminels ont été en mesure de concevoir une liste riche de fonctionnalités.
Dès que la menace est exécutée sur une machine donnée l'application va supprimer son icône du lanceur qui lui rendent impossible pour eux d'accéder à l'aide de la voie ordinaire. L'étape suivante consiste à reproduire une invite qui demandera aux victimes de permettre à la accessibilité des services. Cela peut apparaître comme une demande à la recherche ordinaire et innocent mais cela permettra au principal moteur de l'infection pour mener des actions plus dangereuses. La liste complète des fonctionnalités des dernières versions est la suivante:
- Envoi d'un message SMS à un numéro spécifié
- Mise à jour de l'URL du serveur contrôlé hacker
- La désactivation du virus
- Mise à jour de l'intervalle d'actualisation
- Liste de vidage des applications qui interfèrent
- Mise à jour Liste cible
- demande d'administration de périphériques de privilèges
- Récupération des messages SMS
- Désactivation des tentatives des utilisateurs de surmonter la gâchette rapide
- Définition d'un logiciel malveillant que l'application SMS par défaut
- Suppression du logiciel malveillant de l'application SMS par défaut
- Activation des attaques de superposition
- Désactivation des attaques de superposition
- Activation de la Google Play Overlay
- Désactivation du Google Play Overlay
- Debug Mode de démarrage
- Les fichiers journaux de récupération
- Désactiver le mode débogage
- Liste toutes les applications installées
- Liste de tous les contacts
- Envoie des SMS à plusieurs numberes
- Update package
- Nouvelle addition Overlay
- Renvoi d'appel
- Autorisations Demande de démarrage
- TEXTE ICI
Présentation d'un cheval de Troie attaque Ginp
Tout comme les autres chevaux de Troie bancaires similaires le moteur recherche automatiquement l'appareil Android infecté pour des applications de réseaux sociaux ou de services bancaires mobiles couramment utilisés. La configuration de la volonté du virus d'une superposition invisible au-dessus des ce qui signifie que toutes les interactions des utilisateurs seront contrôlés et surveillés par les pirates. En utilisant une connexion réseau spécial toutes les données seront transmises aux criminels en temps réel. Le cheval de Troie Ginp comme une menace Android sophistiquée permet au groupe criminel de mener également une longue liste de fonctionnalités (voir au dessus).
L'intention est de surveiller pour l'entrée utilisateur renseignements personnels et les détails de carte de paiement. Les échantillons analysés ont été trouvés pour être compatibles avec les applications suivantes:
Facebook, WhatsApp, Skype, Gazouillement, Chrome, Instagram, Snapchat et Viber
Une liste des applications bancaires mobiles qui sont supportés est la suivante:
Play Store, CaixaBank Pay: Les paiements mobiles , CaixaBank, Inscrivez-vous CaixaBank – Carte numérique Coordinate, CaixaBank Tablet, imaginBank – Votre banque mobile, Famille, Bankinter mobile, Porte-monnaie Bankinter, Porte-monnaie coinc, bankintercard, Bankia, Porte-monnaie Nucula, Tablet Nucula, BBVA Espagne, BBVA net de trésorerie | ES & PT, EVO Banco mobile, EVO büsum, kutxabank, KutxabankPay, Santander, Santander Tablet, Confirmant Santander et Santander trésorerie Nexus.
La superposition peut présenter une invite de carte de crédit qui, dans certaines situations peut être perçue comme légitime et sûr. Le moteur de récolte d'information peut également être mis à jour pour supporter la plupart des applications bancaires populaires. Certains des échantillons capturés semblent inclure un support fonctionnel des solutions exploité par des institutions financières espagnoles. Alors que les attaques continuent à se dérouler, nous prévoyons que des informations plus détaillées seront disponibles sur l'identité des pirates ainsi que les cibles compromis.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: