Le Ginp, un cheval de Troie bancaire, vole des données bancaires avec de faux SMS

Le Ginp

De nombreux chevaux de Troie de la banque mobile essaient d'accéder aux SMS après avoir réussi à se frayer un chemin jusqu'à un smartphone. Ils le font pour intercepter les codes de confirmation uniques des banques, car avec un tel code, les propriétaires de logiciels malveillants peuvent initier un paiement ou retirer de l'argent à l'insu de la victime. En même temps, de nombreux chevaux de Troie de ce type utilisent des messages textuels pour infecter d'autres appareils en envoyant un lien de téléchargement malveillant aux contacts de la victime.

Certaines applications malveillantes sont plus créatives et utilisent l'accès à vos SMS pour, par exemple, diffuser des messages texte offensants en votre nom. Le malware Ginp, que nous avons découvert l'automne dernier, possède également une nouvelle fonctionnalité qui permet aux faux messages texte d'apparaître dans la boîte de réception des applications SMS ordinaires.

De quoi est capable le cheval de Troie Ginp ?

Au départ, le Ginp avait des capacités relativement normales pour un cheval de Troie bancaire. Elle a transmis les contacts de ses victimes à son créateur, intercepté des messages textes, volé des détails de cartes bancaires et affiché en transparence les écrans de diverses institutions financières.

Pour ces derniers, le cheval de Troie a profité d'un certain nombre d'outils d'accessibilité Android pour les utilisateurs souffrant de déficiences visuelles. Cela n'est pas rare : les chevaux de Troie bancaires et de nombreux autres types de logiciels malveillants utilisent ces fonctionnalités car ils peuvent accéder visuellement à tous les éléments de l'écran et même accéder à des boutons ou des liens. En fait, ils peuvent prendre le contrôle total de votre smartphone.

Les développeurs de Ginps ne pensaient pas que cela suffisait, alors ils ont sans cesse amélioré leur arsenal avec des compétences plus inventives. Par exemple, le malware utilisait des notifications "push" et des messages pop-up pour inciter les victimes à ouvrir certaines applications, celles qui pourraient être superposées à des fenêtres de phishing. Les notifications sont astucieusement formulées pour inciter les utilisateurs à saisir les données de leur carte bancaire. Voici un exemple (en espagnol) :

Dans la soi-disant application Play Store, les utilisateurs se voient alors montrer le formulaire prévu pour entrer les détails de leur carte. Cependant, c'est le cheval de Troie qui leur montre la forme apparemment légitime, et non Google Play lui-même , comme vous l'avez probablement deviné, les informations saisies sont immédiatement envoyées aux cybercriminels.

Cependant, Ginp va bien au-delà du Play Store et affiche également des notifications apparentes provenant d'applications bancaires :

Curieusement, les fausses notifications fournissent un vrai numéro de téléphone pour contacter la banque. Ainsi, si vous appelez la banque au numéro joint, la voix à l'autre bout du fil vous confirmera probablement qu'il n'y a rien qui cloche avec votre compte. Toutefois, si vous jetez d'abord un coup d'œil aux "transactions suspectes" avant d'appeler la banque, le malware recouvrira l'application bancaire d'une fausse fenêtre et vous invitera à saisir les détails de votre carte.

De faux SMS très convaincants

Début février, notre système de suivi des attaques de botnets a découvert une autre nouvelle caractéristique du cheval de Troie Ginp : l'affichage de faux messages texte dans la boîte de réception des applications SMS habituelles. L'objectif est de persuader l'utilisateur d'ouvrir une application particulière, comme auparavant, mais le cheval de Troie est maintenant capable de générer des SMS avec n'importe quel contenu, qui sont ensuite affichés sous l'apparence de fournisseurs légitimes.

Bien que les utilisateurs ignorent souvent les notifications "push", ils ont tendance à lire les SMS entrants tôt ou tard. Cela signifie qu'il y a de bonnes chances que les utilisateurs suivent effectivement la demande d'ouverture de l'application du prétendu fournisseur. Cependant, une fois que cela se produit, le cheval de Troie recouvre la fenêtre d'origine de sa propre fenêtre et invite l'utilisateur à entrer ses coordonnées de carte de crédit ou de compte bancaire.

Pour se protéger du ginp

Actuellement, le Ginp cible principalement les utilisateurs en Espagne, mais sur la base de notre expérience précédente, nous craignons que ce cheval de Troie ne soit bientôt actif dans d'autres pays. Pour minimiser le risque de compromission par le Ginp ou d'autres chevaux de Troie bancaires, nous recommandons donc les mesures suivantes :

Téléchargez les applications uniquement sur la boutique officielle de Google Play.

Bloquer l'installation de programmes provenant de sources inconnues dans les paramètres d'Android

N'ouvrez pas les liens dans les SMS, surtout si le message semble suspect de quelque manière que ce soit. Si un ami vous envoie inopinément un lien vers une photo, plutôt que d'envoyer la photo par une messagerie ou une application de média social, par exemple, vous devez être sceptique.

Faites attention aux droits d'accès demandés par les applications (elles ne doivent jamais demander l'accès aux SMS, par exemple). Les outils d'accessibilité ne devraient également être accessibles qu'aux applications les moins nombreuses.

Installez une solution de sécurité fiable sur votre téléphone. Par exemple, Kaspersky Internet Security pour AndroidGinp détecte les menaces et bien d'autres encore.