Vírus mobile Ginp falsifica mensagens SMS

Com o objetivo de roubar as informações do seu cartão bancário, malware sobrepõe aplicativos com páginas de phishing e usa notificações falsas para abrí-los

Depois de se infiltrar em um telefone, a maioria dos trojans bancários móveis tenta obter acesso a mensagens SMS. Eles fazem isso para interceptar códigos de confirmação únicos dos bancos. Munidos desse código, os proprietários do malware podem efetuar um pagamento ou desviar fundos sem que a vítima perceba. Ao mesmo tempo, muitos trojans mobile usam mensagens de texto para infectar mais dispositivos, enviando aos contatos da vítima um link de download enganoso.

Alguns aplicativos maliciosos são mais criativos, usando o acesso SMS para distribuir outras coisas em seu nome, como mensagens de texto ofensivas. O malware Ginp, que detectamos pela primeira vez ano passado, pode até criar textos recebidos no telefone da vítima que ninguém realmente enviou – e não apenas textos. Mas vamos começar do começo.

Do que é capaz o Vírus mobile Ginp

No início, o Ginp tinha um conjunto de recursos bastante padrão para um vírus bancário. Ele enviou todos os contatos da vítima aos seus criadores, interceptou mensagens de texto, roubou dados de cartões bancários e sobrepôs aplicativos bancários com janelas de phishing.

Depois, o malware explorava a Acessibilidade, um conjunto de recursos do Android para usuários com deficiência visual. Isso não é incomum; Trojans bancários e muitos outros tipos de malware usam esses recursos porque, por meio deles, têm acesso visual a tudo na tela e podem até “tocar” em botões ou links – na verdade, eles podem dominar completamente do seu telefone.

Mas os autores do Ginp não pararam por aí, reabastecendo cada vez mais seu arsenal com capacidades mais inventivas. Por exemplo: o malware começou a usar notificações push e mensagens pop-up para fazer com que as vítimas abrissem certos aplicativos – aqueles que podem sobrepor com janelas de phishing. As notificações são formuladas com inteligência para induzir os usuários, que esperam ver um formulário, para inserir dados do cartão bancário. Abaixo está um exemplo (em espanhol):

(“Google Pay: Estão faltando os detalhes de seu cartão de crédito ou débito. Utilize a Play Store para adicioná-los de forma segura.”)

No aplicativo Play Store, os usuários veem um formulário para inserir dados do cartão conforme o esperado. No entanto, é o Trojan que exibe o formulário, não o Google Play – e os dados inseridos vão diretamente para os cibercriminosos.

Uma janela falsa – e infelizmente bastante convincente – para inserir dados bancários, exibida no que parece ser o aplicativo Play Store

Uma janela falsa – e infelizmente bastante convincente – para inserir dados bancários, exibida no que parece ser o aplicativo Play Store

O Ginp vai além da Play Store, mostrando também o que parecem ser notificações de aplicativos bancários:

(“B**A: Atividade suspeita detectada em sua conta do B**A. Por favor, revise suas últimas transações e ligue para 91 *** ** 26”)

Curiosamente, as notificações falsas fornecem um número de telefone real para o banco; portanto, se você ligar, é provável que a voz no final da linha relate que sua conta está correta. Mas se você examinar as “transações suspeitas” antes de ligar para o banco, o malware sobrepõe uma janela falsa no aplicativo bancário e solicita os detalhes do seu cartão.

Mensagens SMS falsas muito convincentes

No início de fevereiro, nosso sistema de Rastreamento de Ataques por Botnet detectou outro novo recurso no Ginp: a capacidade de criar textos falsos. O objetivo é o mesmo de antes – fazer com que o usuário abra um aplicativo – mas agora o Trojan pode gerar mensagens SMS com qualquer texto e aparentemente de qualquer remetente. Não há nada que impeça os invasores de falsificar mensagens de bancos ou do Google.

Uma mensagem, supostamente de um banco, pede ao usuário para confirmar o pagamento no app mobile

Uma mensagem, supostamente de um banco, pede ao usuário para confirmar o pagamento no app mobile

 

Enquanto os usuários geralmente ignoram as notificações sem olhar, eles tendem a ler as mensagens SMS recebidas, mais cedo ou mais tarde. Isso significa que há uma boa chance de um usuário abrir o aplicativo para verificar o que está acontecendo com sua conta. E é aí que o Trojan entra com um formulário falso para inserir os detalhes do cartão.

Como se proteger contra o Ginp?

Atualmente, o Ginp tem como alvo principal os usuários na Espanha, mas suas táticas já mudaram uma vez; ele costumava atacar a Polônia e o Reino Unido também. Portanto, mesmo se você mora em outra localidade, lembre-se sempre das regras básicas de cibersegurança. Para evitar ser vítima de trojans bancários:

  • Baixe apenas aplicativos em lojas oficiais como Google Play
  • Nas configurações do Android, bloqueie a instalação de programas de fontes desconhecidas.
  • Não acesse links vindos de mensagens de texto, especificamente se a mensagem parecer suspeita de alguma forma – se, por exemplo, um amigo manda inesperadamente um link para você acessar uma foto, ao invés de enviar a mensagem diretamente por um app de mensagem ou mídia social, por exemplo.
  • Não dê permissão para as opções de Acessibilidade para nenhum aplicativo que solicitá-la – apenas alguns poucos programas precisam realmente dessa poderosa permissão.
  • Seja cauteloso com aplicativos que acessam seus textos.
  • Instale uma segurança confiável de segurança no seu telefone. Por exemplo, o Kaspersky Internet Security, que detecta o Ginp e diversas outras ameaças.
Dicas