De mobiele trojan Ginp bootst inkomende sms’jes na

De meeste mobiele banking trojans proberen na een telefoon te hebben geïnfiltreerd om toegang te krijgen tot sms-berichten. Dat doen ze om zo de eenmalige bevestigingscodes van banken te kunnen onderscheppen. Met die code kunnen de eigenaars van malware een betaling uitvoeren of geld overhevelen zonder dat het slachtoffer iets doorheeft. Tegelijkertijd gebruiken veel mobiele trojans sms-berichten om apparaten te infecteren door een schadelijke downloadlink naar de contacten van het slachtoffer te versturen.

Sommige schadelijke apps zijn creatiever en gebruiken sms-toegang om andere zaken namens u te verspreiden, zoals aanstootgevende sms’jes. De Ginp-malware, die we afgelopen herfst voor het eerst detecteerden, kan zelfs inkomende sms’jes op de telefoon van het slachtoffer creëren die in werkelijkheid door niemand verzonden zijn — en niet alleen sms’jes. Maar laten we bij het begin beginnen.

Waar de mobiele trojan Ginp toe in staat is

In eerste instantie had Ginp een redelijke normale reeks vaardigheden voor een banking trojan. Het verstuurde alle contacten van het slachtoffer naar de eigenaars van de malware, onderschepte sms’jes, stal bankgegevens en overlapte apps voor online bankieren met phishing-vensters.

Voor dat laatste maakte de malware gebruik van Toegankelijkheid, een reeks Android-functies voor gebruikers met visuele beperkingen. Dat is niet ongebruikelijk: banking trojans en vele andere soorten malware gebruiken deze functies omdat ze op deze manier visuele toegang krijgen tot alles wat er op het scherm te zien is, en ze kunnen zo zelfs op knoppen of links “tikken”. Ze kunnen zo in principe de volledige controle over uw telefoon krijgen.

Maar de makers van Ginp stopten daar niet, en vulden hun arsenaal constant aan met inventievere vaardigheden. De malware begon bijvoorbeeld met het gebruik van push-meldingen en pop-up-berichten om slachtoffers te verleiden bepaalde apps te openen, die ze dan weer konden overlappen met phishing-vensters. De meldingen waren slim verwoord om ervoor te zorgen dat gebruikers verwachtten een formulier te zien te krijgen om hun bankgegevens in te voeren. Hieronder ziet u een voorbeeld (in het Spaans):

Google Pay: Nos faltan los detalles de su tarjeta de crédito o débito. Utilice Play Store para agregarlos de manera segura.

(“Google Pay: We missen de gegevens van uw creditcard of betaalkaart. Gelieve de Play Store-app te gebruiken om deze veilig toe te voegen.”)

In de Play Store-app zagen de gebruikers vervolgens een formulier om kaartgegevens in te voeren, zoals verwacht. Maar dit formulier was van de trojan en niet van Google Play, en de ingevoerde gegevens kwamen rechtstreeks in de handen van de cybercriminelen terecht.

Een nep — en helaas erg overtuigend — venster voor het invoeren van bankkaartgegevens, weergegeven in wat de Play Store-app lijkt te zijn

Ginp gaat verder dan Play Store en laat ook meldingen zien die van apps voor online bankieren lijken te zijn:

B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26.

(“B**A: Verdachte activiteit gedetecteerd op uw B**A-rekening. Gelieve recente transacties te controleren en naar 91 *** ** 26 te bellen”)

Vreemd genoeg laat de melding een echt telefoonnummer van de bank zien, dus als u belt zal de persoon aan de andere kan van de lijn u waarschijnlijk vertellen dat er niets aan de hand is met uw rekening. Maar als u eerst besluit naar die “verdachte transacties” te kijken voordat u de bank belt, overlapt de malware de app van de bank met een nepvenster en vraagt hij om uw kaartgegevens.

Zeer overtuigende sms-berichten

Begin februari ontdekte ons Botnet Attack Tracking-systeem nog een feature in Ginp: het vermogen om valse inkomende sms’jes te creëren. Het doel ervan is hetzelfde: ervoor zorgen dat de gebruiker een app opent. Maar nu kan de trojan sms-berichten genereren met welke tekst dan ook, die ogenschijnlijk van elke afzender kunnen komen. Er is niets om te aanvallers te weerhouden van het nabootsen van sms-berichten van banken of Google.

Een sms’je, ogenschijnlijk van een bank, waarin de gebruiker gevraagd wordt om een betaling in de mobiele app te bevestigen

Hoewel push-meldingen vaak weg worden geveegd zonder er verdere aandacht aan te schenken, worden sms-berichten vroeg of laat toch vaak wel gelezen. Dat betekent dat er een goede kans is dat een gebruiker de app zal openen om te kijken wat er met hun account aan de hand is. En op dat moment zorgt de trojan ervoor dat er een vals formulier wordt weergegeven om kaartgegevens in te voeren.

Hoe beschermt u zich tegen Ginp

Momenteel richt Ginp zich vooral op gebruikers in Spanje, maar hun tactiek is al eerder veranderd; eerder waren de aanvallen ook op gebruikers in Polen en het Verenigd Koninkrijk gericht. Dus zelfs als u ergens anders woont, onthoud altijd de basisregels voor cybersecurity. Zo voorkomt u slachtoffer te worden van banking trojans:

• Download alleen apps van Google Play.
• Blokkeer de installatie van programma’s van onbekende brronnen in de Android-instellingen.
• Volg geen links in sms’jes, zeker niet als het bericht sowieso al verdacht lijkt — als een vriend je onverwachts een link naar een foto sms’t in plaats van de foto simpelweg via sociale media te versturen, bijvoorbeeld.
• Geef apps die daarom vragen niet zomaar toegang tot Toegankelijkheid. Er zijn maar erg weinig programma’s die deze toegang ook echt nodig hebben.
• Wees voorzichtig met apps die toegang tot uw sms-berichten willen.
• Installeer een betrouwbaar beveiligingssysteem op uw telefoon. Kaspersky Internet Security detecteert Ginp bijvoorbeeld, evenals vele andere dreigingen.