{"id":14457,"date":"2020-02-28T13:51:46","date_gmt":"2020-02-28T16:51:46","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=14457"},"modified":"2020-02-28T18:17:44","modified_gmt":"2020-02-28T21:17:44","slug":"ginp-mobile-banking-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ginp-mobile-banking-trojan\/14457\/","title":{"rendered":"V\u00edrus mobile Ginp falsifica mensagens SMS"},"content":{"rendered":"

Depois de se infiltrar em um telefone, a maioria dos trojans banc\u00e1rios<\/a> m\u00f3veis tenta obter acesso a mensagens SMS. Eles fazem isso para interceptar c\u00f3digos de confirma\u00e7\u00e3o \u00fanicos dos bancos. Munidos desse c\u00f3digo, os propriet\u00e1rios do malware podem efetuar um pagamento ou desviar fundos sem que a v\u00edtima perceba. Ao mesmo tempo, muitos trojans mobile usam mensagens de texto para infectar mais dispositivos, enviando aos contatos da v\u00edtima um link de download enganoso.<\/p>\n

Alguns aplicativos maliciosos s\u00e3o mais criativos, usando o acesso SMS para distribuir outras coisas em seu nome, como mensagens de texto ofensivas. O malware Ginp, que detectamos pela primeira vez ano passado, pode at\u00e9 criar textos recebidos no telefone da v\u00edtima que ningu\u00e9m realmente enviou \u2013 e n\u00e3o apenas textos. Mas vamos come\u00e7ar do come\u00e7o.<\/p>\n

Do que \u00e9 capaz o V\u00edrus mobile Ginp<\/h2>\n

No in\u00edcio, o Ginp tinha um conjunto de recursos bastante padr\u00e3o para um v\u00edrus banc\u00e1rio. Ele enviou todos os contatos da v\u00edtima aos seus criadores, interceptou mensagens de texto, roubou dados de cart\u00f5es banc\u00e1rios e sobrep\u00f4s aplicativos banc\u00e1rios com janelas de phishing.<\/p>\n

Depois, o malware explorava a Acessibilidade, um conjunto de recursos do Android para usu\u00e1rios com defici\u00eancia visual. Isso n\u00e3o \u00e9 incomum; Trojans banc\u00e1rios e muitos outros tipos de malware usam esses recursos porque, por meio deles, t\u00eam acesso visual a tudo na tela e podem at\u00e9 \u201ctocar\u201d em bot\u00f5es ou links \u2013 na verdade, eles podem dominar completamente do seu telefone.<\/p>\n

Mas os autores do Ginp n\u00e3o pararam por a\u00ed, reabastecendo cada vez mais seu arsenal com capacidades mais inventivas. Por exemplo: o malware come\u00e7ou a usar notifica\u00e7\u00f5es push e mensagens pop-up para fazer com que as v\u00edtimas abrissem certos aplicativos \u2013 aqueles que podem sobrepor com janelas de phishing<\/a>. As notifica\u00e7\u00f5es s\u00e3o formuladas com intelig\u00eancia para induzir os usu\u00e1rios, que esperam ver um formul\u00e1rio, para inserir dados do cart\u00e3o banc\u00e1rio. Abaixo est\u00e1 um exemplo (em espanhol):<\/p>\n

(\u201cGoogle Pay: Est\u00e3o faltando os detalhes de seu cart\u00e3o de cr\u00e9dito ou d\u00e9bito. Utilize a Play Store para adicion\u00e1-los de forma segura.\u201d)<\/em><\/strong><\/p>\n

No aplicativo Play Store, os usu\u00e1rios veem um formul\u00e1rio para inserir dados do cart\u00e3o conforme o esperado. No entanto, \u00e9 o Trojan que exibe o formul\u00e1rio, n\u00e3o o Google Play \u2013 e os dados inseridos v\u00e3o diretamente para os cibercriminosos.<\/p>\n

\"Uma

Uma janela falsa \u2013 e infelizmente bastante convincente \u2013 para inserir dados banc\u00e1rios, exibida no que parece ser o aplicativo Play Store<\/p><\/div>\n

O Ginp vai al\u00e9m da Play Store, mostrando tamb\u00e9m o que parecem ser notifica\u00e7\u00f5es de aplicativos banc\u00e1rios:<\/p>\n

(\u201cB**A: Atividade suspeita detectada em sua conta do B**A. Por favor, revise suas \u00faltimas transa\u00e7\u00f5es e ligue para 91 *** ** 26\u201d)<\/strong><\/em><\/p>\n

Curiosamente, as notifica\u00e7\u00f5es falsas fornecem um n\u00famero de telefone real para o banco; portanto, se voc\u00ea ligar, \u00e9 prov\u00e1vel que a voz no final da linha relate que sua conta est\u00e1 correta. Mas se voc\u00ea examinar as \u201ctransa\u00e7\u00f5es suspeitas\u201d antes de ligar para o banco, o malware sobrep\u00f5e uma janela falsa no aplicativo banc\u00e1rio e solicita os detalhes do seu cart\u00e3o.<\/p>\n

Mensagens SMS falsas muito convincentes<\/h2>\n

No in\u00edcio de fevereiro, nosso sistema de Rastreamento de Ataques por Botnet detectou outro novo recurso no Ginp: a capacidade de criar textos falsos. O objetivo \u00e9 o mesmo de antes \u2013 fazer com que o usu\u00e1rio abra um aplicativo \u2013 mas agora o Trojan pode gerar mensagens SMS com qualquer texto e aparentemente de qualquer remetente. N\u00e3o h\u00e1 nada que impe\u00e7a os invasores de falsificar mensagens de bancos ou do Google.<\/p>\n

\"Uma

Uma mensagem, supostamente de um banco, pede ao usu\u00e1rio para confirmar o pagamento no app mobile<\/p><\/div>\n

\u00a0<\/p>\n

Enquanto os usu\u00e1rios geralmente ignoram as notifica\u00e7\u00f5es sem olhar, eles tendem a ler as mensagens SMS recebidas, mais cedo ou mais tarde. Isso significa que h\u00e1 uma boa chance de um usu\u00e1rio abrir o aplicativo para verificar o que est\u00e1 acontecendo com sua conta. E \u00e9 a\u00ed que o Trojan entra com um formul\u00e1rio falso para inserir os detalhes do cart\u00e3o.<\/p>\n

Como se proteger contra o Ginp?<\/h2>\n

Atualmente, o Ginp tem como alvo principal os usu\u00e1rios na Espanha, mas suas t\u00e1ticas j\u00e1 mudaram uma vez; ele costumava atacar a Pol\u00f4nia e o Reino Unido tamb\u00e9m. Portanto, mesmo se voc\u00ea mora em outra localidade, lembre-se sempre das regras b\u00e1sicas de ciberseguran\u00e7a. Para evitar ser v\u00edtima de trojans banc\u00e1rios:<\/p>\n