{"id":25013,"date":"2020-02-20T18:02:13","date_gmt":"2020-02-20T16:02:13","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=25013"},"modified":"2020-02-20T13:03:29","modified_gmt":"2020-02-20T11:03:29","slug":"ginp-mobile-banking-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/ginp-mobile-banking-trojan\/25013\/","title":{"rendered":"De mobiele trojan Ginp bootst inkomende sms’jes na"},"content":{"rendered":"

De meeste mobiele banking trojans proberen na een telefoon te hebben ge\u00efnfiltreerd om toegang te krijgen tot sms-berichten. Dat doen ze om zo de eenmalige bevestigingscodes van banken te kunnen onderscheppen. Met die code kunnen de eigenaars van malware een betaling uitvoeren of geld overhevelen zonder dat het slachtoffer iets doorheeft. Tegelijkertijd gebruiken veel mobiele trojans sms-berichten om apparaten te infecteren door een schadelijke downloadlink naar de contacten van het slachtoffer te versturen.<\/p>\n

Sommige schadelijke apps zijn creatiever en gebruiken sms-toegang om andere zaken namens u te verspreiden, zoals aanstootgevende sms\u2019jes<\/a>. De Ginp-malware, die we afgelopen herfst voor het eerst detecteerden<\/a>, kan zelfs inkomende sms\u2019jes op de telefoon van het slachtoffer cre\u00ebren die in werkelijkheid door niemand verzonden zijn \u2014 en niet alleen sms\u2019jes. Maar laten we bij het begin beginnen.<\/p>\n

Waar de mobiele trojan Ginp toe in staat is<\/h2>\n

In eerste instantie had Ginp een redelijke normale reeks vaardigheden voor een banking trojan. Het verstuurde alle contacten van het slachtoffer naar de eigenaars van de malware, onderschepte sms\u2019jes, stal bankgegevens en overlapte apps voor online bankieren met phishing-vensters.<\/p>\n

Voor dat laatste maakte de malware gebruik van Toegankelijkheid<\/a>, een reeks Android-functies voor gebruikers met visuele beperkingen. Dat is niet ongebruikelijk: banking trojans en vele andere soorten malware gebruiken deze functies omdat ze op deze manier visuele toegang krijgen tot alles wat er op het scherm te zien is, en ze kunnen zo zelfs op knoppen of links \u201ctikken\u201d. Ze kunnen zo in principe de volledige controle over uw telefoon krijgen.<\/p>\n

Maar de makers van Ginp stopten daar niet, en vulden hun arsenaal constant aan met inventievere vaardigheden. De malware begon bijvoorbeeld met het gebruik van push-meldingen en pop-up-berichten om slachtoffers te verleiden bepaalde apps te openen, die ze dan weer konden overlappen met phishing-vensters. De meldingen waren slim verwoord om ervoor te zorgen dat gebruikers verwachtten een formulier te zien te krijgen om hun bankgegevens in te voeren. Hieronder ziet u een voorbeeld (in het Spaans):<\/p>\n

Google Pay: Nos faltan los detalles de su tarjeta de cr\u00e9dito o d\u00e9bito. Utilice Play Store para agregarlos de manera segura.<\/p>\n

(\u201cGoogle Pay: We missen de gegevens van uw creditcard of betaalkaart. Gelieve de Play Store-app te gebruiken om deze veilig toe te voegen.\u201d)<\/p><\/blockquote>\n

In de Play Store-app zagen de gebruikers vervolgens een formulier om kaartgegevens in te voeren, zoals verwacht. Maar dit formulier was van de trojan en niet van Google Play, en de ingevoerde gegevens kwamen rechtstreeks in de handen van de cybercriminelen terecht.<\/p>\n

\"Een

Een nep \u2014 en helaas erg overtuigend \u2014 venster voor het invoeren van bankkaartgegevens, weergegeven in wat de Play Store-app lijkt te zijn<\/p><\/div>\n

Ginp gaat verder dan Play Store en laat ook meldingen zien die van apps voor online bankieren lijken te zijn:<\/p>\n

B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26.<\/p>\n

(\u201cB**A: Verdachte activiteit gedetecteerd op uw B**A-rekening. Gelieve recente transacties te controleren en naar 91 *** ** 26 te bellen\u201d)<\/p><\/blockquote>\n

Vreemd genoeg laat de melding een echt telefoonnummer van de bank zien, dus als u belt zal de persoon aan de andere kan van de lijn u waarschijnlijk vertellen dat er niets aan de hand is met uw rekening. Maar als u eerst besluit naar die \u201cverdachte transacties\u201d te kijken voordat u de bank belt, overlapt de malware de app van de bank met een nepvenster en vraagt hij om uw kaartgegevens.<\/p>\n

Zeer overtuigende sms-berichten<\/h2>\n

Begin februari ontdekte ons Botnet Attack Tracking-systeem nog een feature in Ginp: het vermogen om valse inkomende sms\u2019jes te cre\u00ebren. Het doel ervan is hetzelfde: ervoor zorgen dat de gebruiker een app opent. Maar nu kan de trojan sms-berichten genereren met welke tekst dan ook, die ogenschijnlijk van elke afzender kunnen komen. Er is niets om te aanvallers te weerhouden van het nabootsen van sms-berichten van banken of Google.<\/p>\n

\"Een

Een sms\u2019je, ogenschijnlijk van een bank, waarin de gebruiker gevraagd wordt om een betaling in de mobiele app te bevestigen<\/p><\/div>\n

Hoewel push-meldingen vaak weg worden geveegd zonder er verdere aandacht aan te schenken, worden sms-berichten vroeg of laat toch vaak wel gelezen. Dat betekent dat er een goede kans is dat een gebruiker de app zal openen om te kijken wat er met hun account aan de hand is. En op dat moment zorgt de trojan ervoor dat er een vals formulier wordt weergegeven om kaartgegevens in te voeren.<\/p>\n

Hoe beschermt u zich tegen Ginp<\/h2>\n

Momenteel richt Ginp zich vooral op gebruikers in Spanje, maar hun tactiek is al eerder veranderd; eerder waren de aanvallen ook op gebruikers in Polen en het Verenigd Koninkrijk gericht. Dus zelfs als u ergens anders woont, onthoud altijd de basisregels voor cybersecurity. Zo voorkomt u slachtoffer te worden van banking trojans:<\/p>\n