Il Ginp Trojan è un malware per Android, che è stato identificato da un ricercatore di sicurezza in una delle sue campagne di attacco recenti. I campioni che si ritiene essere lanciato in data campagna di attacco fino alla fine di ottobre 2019 tuttavia alcuni dei primi casi di minaccia sono stati rilevati nel mese di giugno. Questi dati mostrano che il ransomware è attivamente sviluppato da hacker. Fin dal suo primo rilascio cinque principali aggiornamenti sono noti.
Si sviluppa principalmente attraverso le applicazioni mobili ospitati su Google Play e altri repository. Non appena viene installato su un determinato dispositivo che lancerà un motore di malware bancario che raccogliere i dati finanziari e possono essere usate per vari reati.
Ginp Trojan marzo 2020 Aggiornamento - Coronavirus Campaign
A seguito dei coronavirus COVID-19 criminali informatici pandemia hanno iniziato a dirigere vari virus correlati phishing campagne. Uno degli ultimi esempi è un'operazione su larga scala Ginp Trojan. I criminali dietro di esso sono l'invio di messaggi di testo contraffatti contro le vittime designate. Se i destinatari interagiscono con il messaggio verrà installato il cavallo di Troia. Il contenuto del SMS approfittare del panico Coronavirus. Il legame effettivo che viene inviato nel messaggio eseguirà uno script che distribuire il Trojan Ginp. Inizierà un comando che apre un'abbiamo chiamato bpage coronavirus Finder. Il sito sarà letto che ci sono persone nelle vicinanze che sono contaminati da COVID-19. I visitatori saranno manipolati a pagare la somma di pagina 0.75 Euro al fine di scoprire la loro posizione.
Accanto ai messaggi ci sono altre tattiche che possono essere utilizzati per costringere le vittime a interagire con il sito di hacker controllato: pop-up, reindirizza ed ecc.
Il Ginp Trojan è tra i più pericolosi Banking Malware per Android
Android il malware sono una delle maggior parte delle minacce prevalenti che gli utenti finali devono affrontare oggi. Ciò è dovuto al fatto che molti collettivi di hacking sono diventati abili a sviluppare virus per il sistema operativo mobile. La piattaforma ha visto un sacco di minacce e in base alle informazioni disponibili è basato sul noto minacce Anubis. Le prime versioni di questo Trojan sono stati rilasciati su Google Play Store e altri repository sotto il nome Google Play Checker in un tentativo di truffa ai visitatori in installarlo. Questa tattica ruota intorno alla tecnica comune di creare un'applicazione pericolosa che sono mascherati come utilità di sistema utili.
Nel caso di questi primi campioni del Ginp Trojan non possedeva gran parte delle ricche funzionalità per la quale è conosciuto. Una volta lanciato si raccoglieranno i messaggi SMS memorizzati e inviarlo a un server di hacker controllata specificata. Solo pochi mesi dopo la versione iniziale i criminali hanno creato una più aggiornata versione molto Ginp Trojan.
Senza patch Bug Android mette proprietari di Samsung, Xiaomi Cellulari a rischio
Il Ginp Trojan e le sue Ultima versione
Notizia sulla nuova versione della minaccia che dispone di un molto più ricco di funzionalità modello di comportamento. Questa volta i vettori di malware che ospitano essa sono chiamati Adobe Flash Player e possono essere ospitati sia su Google Play e su altri repository. Se i criminali intendono creare una campagna di distribuzione sempre più grandi possono usare altri luoghi in cui i file dei virus (in archivi o sotto forma di APK) possono essere ospitati:
- Documenti - Documenti Macro-infetti possono essere usati per fornire il file del virus per dispositivi di destinazione. Quando le vittime li aprono un prompt chiederà loro di consentire loro, al fine di visualizzare correttamente i contenuti. Le macro sono script speciali che Estrarre ed eseguire il codice del virus senza l'utente se ne accorga.
- Altri pacchetti APK - Gli hacker possono creare una varietà di altri bundle app pericolose. Di solito la maggior parte delle applicazioni più diffuse sono mirati come la loro identità può essere facilmente falsificato.
- Host di malware di terze parti - file Ginp Trojan possono essere ospitati su siti e collegamenti web degli hacker-mantenuta ad esso aggiunto ai profili di social network di falsi o hacked account. Di solito interattiva del codice viene inserito sui siti web che sarà costantemente “luogo” i visitatori del sito con tutti i tipi di contenuti (banner, pop-up e reindirizzamento) in download o l'esecuzione di un file.
Tenuto conto del fatto che il Ginp Trojan è classificato come uno bancario di Troia delle strategie più utilizzate sarebbe quello di escogitare campagne di phishing. Essi possono utilizzare sia i messaggi di posta elettronica o siti pirata a controllo che si trovano sui nomi a dominio dal suono simile a servizi noti o società.
Capacità del Trojan Ginp su Android
Avere accesso ai vari campioni Ginp Trojan e le ultime uscite si può affermare che le versioni attuali sono avanzate. Anche se non ci sono informazioni disponibili circa il collettivo hacker su di esso, i criminali sono stati in grado di elaborare un elenco ricco di funzionalità.
Non appena la minaccia viene eseguito su una determinata macchina l'applicazione rimuoverà la sua icona dal lanciatore che renderà impossibile per loro di accedere utilizzando il modo ordinario. Il passo successivo è quello di generare un prompt che chiederà le vittime per consentire la Servizio Accessibilità. Questo può apparire come una richiesta di ricerca normale e innocente tuttavia questo permetterà al motore di infezione principale per svolgere azioni più pericolosi. L'elenco completo delle funzionalità presenti nelle ultime versioni è il seguente:
- L'invio di un messaggio SMS a un numero specificato
- Aggiornamento del URL del server degli hacker controllato
- La disattivazione del virus
- Aggiornamento l'intervallo di aggiornamento
- Elenco svuotamento delle applicazioni sovrapposto
- Obiettivo Lista Aggiornamento
- richiesta di amministrazione Dispositivo di privilegi
- Il recupero dei messaggi SMS
- Disabilitare i tentativi degli utenti di superare il grilletto pronta
- L'impostazione di un malware app predefinita per gli SMS
- La rimozione del malware dal app predefinita SMS
- L'attivazione degli attacchi Overlay
- Disabilitare gli attacchi Overlay
- Attivazione del Google Play Overlay
- La disattivazione del Google Play Overlay
- Debug Start Mode
- File di log di recupero
- Debug modalità Disabilita
- Elencare tutte le applicazioni installate
- Elenca tutti i contatti
- Invia SMS a più numberes
- pacchetto di aggiornamento
- Nuova aggiunta Overlay
- Inoltro chiamata
- Permessi di richiesta di avvio
- TESTO QUÌ
Panoramica di un Trojan attacco Ginp
Come altri Trojan bancari simili il motore cercherà automaticamente il dispositivo Android infetta comunemente usati per applicazioni di social network o servizi di mobile banking. La configurazione Virus un overlay invisibile in cima alle il che significa che tutte le interazioni dell'utente saranno controllati e monitorati dagli hacker. Utilizzando una connessione di rete speciale tutti i dati saranno trasmessi ai criminali in tempo reale. Il Ginp Trojan come un sofisticato minaccia Android permette al gruppo criminale offra anche una lunga lista di caratteristiche (vedi sopra).
L'intenzione è di monitor per l'input dell'utente informazioni personali e di pagamento dati della carta. I campioni analizzati sono stati trovati per essere compatibile con le seguenti applicazioni:
Facebook, WhatsApp, Skype, Cinguettio, Cromo, Instagram, Snapchat e Viber
Un elenco delle applicazioni di mobile banking che sono supportati è il seguente:
Play Store, CaixaBank Pay: mobile Payments , CaixaBank, Iscriviti CaixaBank – Digital coordinate della carta, CaixaBank Tablet, imaginBank – Il telefono della banca, Famiglia, Bankinter mobile, Bankinter Portafoglio, COINC Portafoglio, bankintercard, Bankia, Bankia Portafoglio, Bankia Tablet, BBVA in Spagna, BBVA Net Cash | ES & PT, EVO Banco mobile, EVO Büsum, Kutxabank, KutxabankPay, Santander, Santander Tablet, Confermando Santander e Santander Cash Nexus.
La sovrapposizione può presentare una richiesta di carta di credito, che in alcune situazioni può essere percepito come legittimo e sicuro. Il motore di raccolta di informazioni può anche essere aggiornato per supportare molte delle applicazioni bancarie popolari. Alcuni dei campioni acquisiti sembrano includere il supporto funzionale delle soluzioni gestito da istituti finanziari spagnoli. Mentre gli attacchi continuano ad evolversi prevediamo che informazioni più dettagliate saranno disponibili sull'identità degli hacker, nonché gli obiettivi compromessi.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: