O GINP Trojan é um de malware Android que foi identificado por um pesquisador de segurança em uma de suas campanhas de ataque recentes. As amostras que são acreditados para ser lançado na data campanha ataque ao fim de Outubro 2019 no entanto alguns dos primeiros exemplos da ameaça ter sido detectado em junho. Estes dados mostram que o ransomware está sendo ativamente desenvolvidos pelos hackers. Desde o seu primeiro lançamento são conhecidos cinco grandes atualizações.
É transmitida principalmente através de aplicativos móveis hospedados no Google Play e outros repositórios. Assim que é instalado em um determinado dispositivo que vai lançar um motor de malware bancário que vai colher dados financeiros e ser usado para vários crimes.
GINP Trojan Março 2020 Update - Campanha Coronavirus
Seguindo os coronavírus COVID-19 criminosos de computador pandemia já começaram a dirigir vários vírus relacionado phishing campanhas. Um dos exemplos mais recentes é uma operação de grande escala GINP Trojan. Os criminosos por trás dele está enviando mensagens de texto falsificados contra as vítimas destinados. Se os destinatários interagir com a mensagem que o Trojan será instalado. O conteúdo do SMS aproveitar o pânico Coronavirus. O link real que é enviado na mensagem irá executar um script que irá implantar o GINP Trojan. Ele vai começar um comando que abre uma bpage chamamos coronavirus do Finder. O site vai ler que há pessoas nas proximidades, que são contaminados por COVID-19. Os visitantes serão manipulados para pagar a página a soma de 0.75 Euro, a fim de descobrir a sua localização.
Ao lado das mensagens existem outras táticas que podem ser usadas para coagir as vítimas a interagir com o site controlado por hackers: pop-ups, redireccionamentos e etc..
O GINP Trojan está entre os mais perigosos Banking malware para Android
Android malware são um dos mais ameaças comuns que os utilizadores finais enfrentam hoje. Isto é devido ao fato de que muitos coletivos de hackers tornaram-se hábeis em desenvolvimento de vírus para o sistema operacional móvel. A plataforma tem visto uma série de ameaças e de acordo com a informação disponível é baseada na bem conhecido de malware Anubis. As primeiras versões deste Trojan foram liberados na loja Google Play e outros repositórios sob o nome Tocar Checker Google em uma tentativa de golpe os visitantes em instalá-lo. Esta tática gira sobre a técnica comum de criação de aplicação perigosa que são mascarados como utilitários do sistema úteis.
No caso de estas primeiras amostras do GINP Trojan não possuía grande parte da funcionalidade rica para o qual é conhecido. Quando lançou ele irá colher as mensagens SMS armazenadas e enviá-lo para um servidor controlado por hackers especificado. Apenas alguns meses após a versão inicial dos criminosos criaram um mais atualizado liberação muito GINP Trojan.
Unpatched Android coloca Bug Os proprietários de Samsung, Telefones Xiaomi em Risco
O GINP Trojan E seu mais recente lançamento
Surgiram notícias sobre a nova versão da ameaça que apresenta um padrão de comportamento muito mais rica em recursos. Desta vez, os portadores de malware que hospedam que são chamados Adobe Flash Player e eles podem ser hospedados tanto no Google Play e em outros repositórios. Se os criminosos pretendem criar uma campanha de distribuição cada vez maior eles podem usar outros lugares onde os arquivos de vírus (em arquivos ou forma APK) pode ser hospedado:
- documentos - Documentos Macro-infectados podem ser usados para entregar o arquivo de vírus para dispositivos de destino. Quando as vítimas abri-los um prompt irá pedir-lhes para capacitá-los a fim de visualizar corretamente o conteúdo. As macros são scripts especiais que irão extrair e executar o código do vírus, sem que o usuário perceba.
- Outros pacotes APK - Os hackers podem criar uma variedade de outros pacotes de aplicativos perigosos. Normalmente, a maioria das aplicações populares são direcionados como a sua identidade pode ser facilmente falsificado.
- Hosts de malware de terceiros - arquivos GINP de Tróia podem ser hospedados em sites mantidos-hackers e links para ele adicionados a perfis de rede sociais de contas falsas ou hackeados. Normalmente código interativa é colocada sobre os sites que vai constantemente “local” os visitantes do site com todos os tipos de conteúdos (banners, pop-ups e redirecionamentos) para fazer o download ou executar um arquivo.
Dado o fato de que o GINP Trojan é classificado como um Trojan bancário das estratégias mais utilizadas seria conceber phishing campanhas. Eles podem usar ambas as mensagens de e-mail ou sites controlados por hackers que são encontrados em nomes de domínio som semelhantes a serviços ou empresas bem conhecidas.
Capacidades do GINP Trojan no Android
Ter acesso às diversas amostras GINP Tróia e os últimos lançamentos, podemos afirmar que as versões atuais são avançados. Enquanto não há nenhuma informação disponível sobre o coletivo de hackers sobre isso, os criminosos foram capazes de elaborar uma lista rica de recursos.
Assim que a ameaça é executado em uma determinada máquina o aplicativo irá remover o ícone do lançador que tornará impossível para eles para acessá-lo usando o modo ordinário. O próximo passo é gerar um prompt que irá pedir as vítimas para permitir que o acessibilidade do Serviço. Isto pode aparecer como um pedido de aparência comum e inocente no entanto, isso permitirá que o principal motor de infecção para realizar ações mais perigosas. A lista completa de funcionalidades encontradas nas versões mais recentes é o seguinte:
- Envio de uma mensagem SMS para um número especificado
- Atualizando o URL do servidor controlado por hackers
- A desativação do vírus
- Atualizando o intervalo de atualização
- Lista esvaziamento dos aplicativos Overlayed
- Lista alvo Atualização
- solicitação de Administração do dispositivo de privilégios
- Recuperação de mensagens SMS
- Desactivação das tentativas de utilizadores de superar o gatilho pronta
- Definir um malware como o app de SMS padrão
- Removendo o malware a partir do aplicativo de SMS padrão
- Permitindo que os ataques de sobreposição
- A desativação dos ataques de sobreposição
- Permitindo que o jogo Overlay Google
- A desativação do jogo Overlay Google
- Modo Debug Iniciar
- Log Files Retrieval
- Debug Mode Desativar
- Liste todos os aplicativos instalados
- Listar todos os contatos
- Envia SMS para vários Numberes
- pacote de atualização
- New Overlay Adição
- Encaminhamento de chamada
- Permissões de solicitação de início
- TEXT_HERE
Visão geral de uma GINP Trojan Ataque
À semelhança de outros Trojans bancários semelhantes o motor vai verificar automaticamente o dispositivo Android infectado para aplicativos de redes sociais comumente usados ou serviços bancários móveis. A configuração do vírus vontade uma sobreposição invisível no topo dos que significa que todas as interacções do utilizador serão controladas e monitoradas por hackers. Usando uma conexão de rede especial todos os dados serão transmitidos para os criminosos em tempo real. O GINP Trojan como uma ameaça Android sofisticada permite que o grupo criminoso também para realizar uma extensa lista de recursos (Veja acima).
A intenção é de monitor para a entrada do usuário de informações pessoais e detalhes de pagamento de cartão de. As amostras analisadas, foram encontrados para serem compatíveis com as seguintes aplicações:
Facebook, Whatsapp, Skype, Twitter, cromada, Instagram, Snapchat e Viber
A lista dos aplicativos bancários móveis que são suportados é o seguinte:
Loja de jogos, CaixaBank Pay: Pagamentos móveis , CaixaBank, CaixaBank Sign – Digital Coordenar cartão, CaixaBank Tablet, imaginBank – Seu banco móvel, Família, Bankinter móvel, Bankinter Carteira, COINC Carteira, bankintercard, Bankia, Bankia Carteira, Bankia Tablet, BBVA Espanha, BBVA Caixa Líquido | ES & PT, EVO Banco Móvel, EVO Büsum, Kutxabank, KutxabankPay, Santander, Santander Tablet, Confirmando Santander e Santander Caixa Nexus.
A sobreposição pode apresentar um prompt de cartão de crédito que em algumas situações pode ser percebido como legítimo e seguro. O motor de informações a colheita também pode ser atualizado para suportar muitos dos aplicativos bancários populares. Algumas das amostras capturadas parecem incluir suporte funcional de soluções operado por instituições financeiras espanholas. Como os ataques continuam a se desdobrar prevemos que informações mais detalhadas estarão disponíveis sobre a identidade dos hackers, bem como as metas comprometidas.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: