Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra

Un peligroso troyano suplanta las ‘apps’ de siete bancos españoles en Android

El 'software' malicioso Ginp se creó hace solo unos meses y forma parte de una campaña centrada en España

troyano ginp
El objetivo del 'malware' son 23 'apps' de siete bancos españoles.

Un usuario de Android abre su aplicación del banco. Si el malware Ginp se ha colado en su móvil, detectará ese movimiento y sobrepondrá una pantalla calcada a la del banco por encima de la app legítima, pero obviamente con una finalidad distinta. Primero pedirá las credenciales para acceder y después la tarjeta, con su fecha de caducidad y el número CVV. El usuario creerá que está usando la app del banco, pero estará dando sus datos a los ladrones.

El ataque es sorprendentemente sofisticado para lo que es habitual en bancos españoles. "La página falsa del phishing es prácticamente idéntica a la original. Alguien se ha tomado su tiempo en copiarla tal cual", explica Santiago Palomares, analista de malware en Threatfabric, start-up holandesa especializada en troyanos bancarios que ha analizado el código de Ginp.

Dos ejemplos de pantallas falsas de Ginp que calcan la app del Santander.
Dos ejemplos de pantallas falsas de Ginp que calcan la app del Santander.

Tanto esmero en la copia de la página es raro en móviles Android y excepcional en malware dirigido a bancos españoles: "Ningún otro malware para empresas españolas se parecía tanto al banco legítimo. Lo más habitual era crear una página estándar y cambiar solo logo y color. Pero Ginp no: emula incluso una página de carga específica que tiene por ejemplo Bankia, incluso con los tiempos de carga de esas aplicaciones", añade Palomares. Los siete bancos afectados son Caixabank, Bankinter, Bankia, BBVA, EVO Banco, Kutxabank y Santander.

Los actores maliciosos tienen dos vías para robar: uno, usar la tarjeta. Dos, hacer una transferencia. Si el código de confirmación llega por SMS, la misma app maliciosa puede reenviarlo. "Infectando el teléfono, tienes acceso a los SMS, de modo que si consigues las credenciales y los datos de la tarjeta significa que puedes realizar transacciones en casi cualquier comercio", dice Palomares.

¿Cómo detectar que un móvil está infectado? Cuando se lanza la app del banco, el efecto de la aparición de la pantalla maliciosa es similar a cuando se pasa de una aplicación a otra en móviles Android. "Si miras entonces en la lista de apps que tienes abiertas ves una sin nombre como la más reciente, abierta después de la del banco", explica Palomares. Este tipo de ataque se llama overlay. Consiste en ponerse encima de la app bancaria mediante un permiso de Android. Google ha hecho que cada vez sea más difícil de lograr, pero sigue ocurriendo.

La otra gran pregunta es cómo se ha colado ese código malicioso en el teléfono del usuario. Hay dos caminos básicos. Primero, a través de un link. En el caso de Ginp, la oleada principal ha sido a través de spam con un enlace por SMS. El troyano secuestra luego la lista de contactos y reenvía el enlace a otros usuarios. Una investigadora de Kaspersky, que fue la primera que publicó la existencia de Ginp, puso un ejemplo de uno de esos SMS, con una supuesta actualización de Android 10.

Otro modo en que este troyano se distribuye es con anuncios en web en los que salta un pop up que pide instalar "Adobe Flash Player" en el móvil. Hace años que Flash no se usa en móviles, pero es un reducto de la web que se ha quedado en nuestra memoria y es eficaz como anzuelo. Y obviamente en lugar del Flash hay código malicioso. Otro peligro habitual que no parece haberse dado en este caso es mediante una aplicación troyanizada en Google Play. Pueden ser linternas, horóscopos, utilidades de batería o de limpieza de teléfono.

Una vez está dentro, la app tiene instrucciones de borrar su icono, de esconderse y no aparecer con un logo. Pero sigue ejecutándose a la espera de que el usuario inicie una aplicación del banco.

El motivo de la elección de España como foco no está claro. La penetración de apps bancarias en España es alta y cada vez los bancos animan a sus clientes a emplearlas. "Es cierto que quizá hay más mercado", dice Sergio de los Santos, director de innovación y laboratorio en ElevenPaths, unidad de ciberseguridad de Telefónica Digital. "Porque no depende de lo bien o lo mal que lo hagan los bancos en ciberseguridad", añade.

El objetivo español no conlleva que los creadores del troyano sean también españoles o conozcan la lengua. Hay de hecho algunas erratas en las capturas de pantalla que proporciona Threatfabric. "Tiene pinta de que no son españoles. Hay cosas en su servidor que están en ruso. No suelen ser aislados", dice Palomares.

Ginp ha tenido cinco versiones en los últimos cinco meses. Esta nueva versión fue creada en junio de 2019 y ha ido evolucionando. Primero trataba de robar tarjetas sobreponiéndose a aplicaciones más habituales: Facebook, WhatsApp, Chrome, Skype y otras. En su tercera actualización pasó a centrarse en bancos españoles. También ha reutilizado elementos de Anubis, un célebre troyano bancario cuyo código fue filtrado este mismo año. "El malware bancario para Android más popular de los últimos tres años es Anubis, y fue recientemente filtrado después de que arrestaran a su creador. Es unos de los más sofisticados y Ginp ha cogido algunas de sus funciones y las ha introducido en su código. No ha incluido todas, y se espera que poco a poco introduzcan más", explica Palomares. Es probable, por tanto, que Ginp siga evolucionando.

Se adhiere a los criterios de The Trust Project Más información >

Más información