Recientemente se ha descubierto un nuevo troyano bancario para dispositivos Android que está especialmente destinado al robo de credenciales bancarias de entidades españolas. Pertenece a la familia ‘GINP’, que fue descubierta en junio de 2019, aunque en sus primeras versiones no incluía ninguna funcionalidad destinada al robo de credenciales bancarias.
En sus primeras versiones sus desarrolladores estaban interesados en el robo de mensajes de texto recibidos en el dispositivo, además del envío de SMS utilizando los dispositivos móviles infectados.
Desde Junio hasta el día de hoy, esta familia ha evolucionado mucho, pasando de solamente incluir funcionalidad para robo y envío de SMS a incorporar una lista interesante de funcionalidades, entre las que se encuentra el robo de credenciales bancarias.
En el aspecto técnico también ha evolucionado, ya que en sus primeras versiones únicamente se codificaban las cadenas de texto y se ofuscaba el nombre de funciones y clases para dificultar el análisis.
Sin embargo, en las últimas versiones podemos observar el uso de técnicas de empaquetamiento, que permiten al malware incluir el código malicioso cifrado para que éste sea descifrado y ejecutado en tiempo de ejecución.
Además de la evolución de este malware, de software espía a troyano bancario, resulta especialmente curioso el hecho de que únicamente afecte a entidades bancarias españolas.
Aunque afecta específicamente a aplicaciones de entidades españolas, también incluye una inyección genérica para el robo de tarjetas de crédito cuando el usuario inicia el Google Play.
Si te interesa continuar leyendo el informe completo puedes descargarlo.