Análisis sobre el Android Banker GINP


Recientemente se ha descubierto un nuevo troyano bancario para dispositivos Android que está especialmente destinado al robo de credenciales bancarias de entidades españolas. Pertenece a la familia ‘GINP’, que fue descubierta en junio de 2019, aunque en sus primeras versiones no incluía ninguna funcionalidad destinada al robo de credenciales bancarias.

En sus primeras versiones sus desarrolladores estaban interesados en el robo de mensajes de texto recibidos en el dispositivo, además del envío de SMS utilizando los dispositivos móviles infectados.

Desde Junio hasta el día de hoy, esta familia ha evolucionado mucho, pasando de solamente incluir funcionalidad para robo y envío de SMS a incorporar una lista interesante de funcionalidades, entre las que se encuentra el robo de credenciales bancarias.

En el aspecto técnico también ha evolucionado, ya que en sus primeras versiones únicamente se codificaban las cadenas de texto y se ofuscaba el nombre de funciones y clases para dificultar el análisis.

Sin embargo, en las últimas versiones podemos observar el uso de técnicas de empaquetamiento, que permiten al malware incluir el código malicioso cifrado para que éste sea descifrado y ejecutado en tiempo de ejecución.

Además de la evolución de este malware, de software espía a troyano bancario, resulta especialmente curioso el hecho de que únicamente afecte a entidades bancarias españolas.

Aunque afecta específicamente a aplicaciones de entidades españolas, también incluye una inyección genérica para el robo de tarjetas de crédito cuando el usuario inicia el Google Play.

Si te interesa continuar leyendo el informe completo puedes descargarlo.

ginp-cover

GINP es uno de los nuevos troyanos bancarios orientado específicamente a la banca española.

El robo de credenciales bancarias está basado en ‘overlays’ que se muestran al usuario cuando éste inicia la aplicación legítima de la entidad bancaria afectada. Además del uso de ‘overlays’, GINP utiliza las mismas técnicas que el resto de los troyanos bancarios de Android para detectar el inicio de apps legítimas, implementando un servicio de accesibilidad que recibe los eventos que se producen en la interfaz de usuario.

Resulta especialmente curioso el hecho de que este malware haya pasado de ser un troyano espía a ser un troyano bancario que, además afecta únicamente a entidades bancarias españolas. Esto indica que estas muestras se encuentran especialmente diseñadas para afectar a usuarios españoles.

 

¿Te ha gustado? Comparte en tus comunidades sociales.

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo