Троян Ginp: вам SMS от банка, подтвердите платеж

Охотясь за данными вашей банковской карты, зловред перекрывает приложения фейковыми окнами и подделывает SMS, чтобы заставить вас эти приложения открыть.

анковский троян Ginp подделывает SMS и push-уведомления, чтобы убедить вас открыть эти приложения

Мобильные банковские трояны, проникнув на телефон, как правило, пытаются получить доступ к SMS. Им это нужно для того, чтобы перехватывать одноразовые коды подтверждения операций, которые отправляют банки. Получив такой код, владельцы зловреда могут незаметно для жертвы что-нибудь оплатить или перевести деньги на свой счет. Многие мобильные трояны заодно используют SMS, чтобы заразить побольше устройств, рассылая ссылку на скачивание себя по всему списку контактов жертвы.

Некоторые вредоносные приложения пользуются правом на отправку SMS более креативно — например, устраивают массовую рассылку с оскорблениями. А зловред Ginp, которого мы впервые обнаружили осенью прошлого года, умеет создавать на телефоне жертвы входящие SMS, которых на самом деле вообще никто не посылал. И не только SMS! Но давайте начнем с начала.

Что умеет банковский троян Ginp

Изначально Ginp обладал довольно стандартным для банковских троянов набором умений: отправлял полный список контактов жертвы своим создателям, перехватывал SMS и воровал данные банковских карт, перекрывая окна приложений фишинговыми страницами.

Для своих темных делишек зловред пользовался «Специальными возможностями» (Accessibility) — набором функций Android для слабовидящих пользователей. Это тоже не редкость: банковские трояны и многие другие зловреды очень любят эти функции за то, что они позволяют приложению «видеть» все, что отображается на экране, и нажимать любые кнопки и ссылки — в общем, хозяйничать на вашем телефоне.

Однако впоследствии авторы Ginp не раз пополняли его арсенал, добавляя более оригинальные возможности. Так, зловред начал использовать push-уведомления и всплывающие сообщения, чтобы убедить жертву открыть нужное ему приложение — из числа тех, которые банковский троян умеет перекрывать фейковой страницей. Текст уведомлений усыпляет бдительность пользователя: они построены так, чтобы далее ожидалась форма ввода данных кредитки. Вот пример (на испанском языке):

Google Pay: Nos faltan los detalles de su tarjeta de crédito o débito. Utilice Play Store para agregarlos de manera segura.
(«Google Pay: нам не хватает данных вашей кредитной или дебетовой карты. Используйте Play Маркет, чтобы безопасно их добавить».)

Если пользователь поверит и откроет Play Маркет, он увидит вполне ожидаемое окно для ввода данных карточки. Вот только на самом деле форму ввода данных карты покажет не Google Play, а троян — и эти данные отправятся хозяевам зловреда.

Так — к сожалению, вполне убедительно — выглядит фейковое окно для ввода данных банковской карточки якобы в приложении Play Маркет

Так — к сожалению, вполне убедительно — выглядит фейковое окно для ввода данных банковской карточки якобы в приложении Play Маркет

Впрочем, Ginp не ограничивается Play Маркетом, он выводит уведомления и от имени банковских приложений:

B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26.
(«B**A: подозрительная активность в вашем аккаунте B**A. Пожалуйста, проверьте последние транзакции и позвоните 91 *** ** 26».)

Любопытно, что здесь указан настоящий телефон банка, и на том конце провода вам, скорее всего, скажут, что с вашим счетом все в порядке. Но если вы решите проверить «подозрительные транзакции» через приложение, что вполне логично сделать в такой ситуации перед тем, как звонить в банк, зловред перекроет его фейковым окном и потребует данные карточки.

Очень правдоподобные фейковые SMS

В начале февраля наша система мониторинга активности ботнетов — Botnet Attack Tracking — обнаружила у Ginp еще одну новую способность: создавать фейковые входящие SMS. Задача у них все та же — убедить пользователя открыть нужное приложение и усыпить бдительность. При этом троян может сгенерировать SMS с любым текстом и указать любого отправителя. Ничто не мешает злоумышленникам, например, «присылать» жертвам правдоподобные эсэмэски от банков или того же Google.

Сообщение якобы от банка о том, что пользователя ожидает платеж, который нужно подтвердить в мобильном приложении

Сообщение якобы от банка о том, что пользователя ожидает платеж, который нужно подтвердить в мобильном приложении

Если push-уведомления пользователь может смахнуть не глядя, то входящую SMS он, скорее всего, рано или поздно увидит и прочитает. И с большой вероятностью откроет приложение, чтобы проверить, что происходит с его счетом. В этот-то момент троян и подсунет ему фейковую форму для ввода данных карты.

Как защититься от банковского трояна Ginp

Сейчас Ginp атакует в основном испанцев, но его вкусы уже менялись: раньше он уделял внимание также пользователям из Польши и Великобритании. А значит, даже если вы живете в другой стране, не стоит забывать о правилах кибербезопасности. Чтобы не стать жертвой банковских троянов:

  • Скачивайте приложения только из Google Play.
  • Запретите установку программ из сторонних источников в настройках устройства. Так вы сведете к минимуму вероятность заражения.
  • Не переходите по ссылкам из SMS, особенно если сообщение вызывает вопросы. Скажем, если друг неожиданно шлет фото в виде ссылки в текстовом сообщении, а не через соцсеть или мессенджер, — это подозрительно.
  • Не выдавайте каким попало приложениям права на доступ к «Специальным возможностям» — программ, которым они действительно нужны, крайне мало.
  • Также с осторожностью относитесь к приложениям, которые требуют доступ к SMS.
    Установите на телефон надежное защитное решение. Например, Kaspersky для Android успешно обнаруживает и Ginp, и многие другие угрозы.
Советы