Phát hiện mã độc ngân hàng mới – “Ginp”

By | 10:21 am | 27/11/2019

malware
Các nhà nghiên cứu từ ThreatFabric đã phát hiện một dạng phần mềm độc hại ngân hàng mới có tên là Gin nhắm mục tiêu vào người dùng Android. Theo các chuyên gia từ ThreatFabric, những kẻ tấn công sử dụng phần mềm độc hại Ginp để đánh cắp thông tin tài khoản ngân hàng, các tin nhắn và thông tin thẻ tín dụng/thẻ ghi nợ của người dùng, tập trung vào các khách hàng của ngân hàng Tây Ban Nha.

ThreatFabric đã tuyên bố rằng phần mềm độc hại được xác định lần đầu tiên bởi bà Tatyana Shishkova – chuyên gia phân tích mã độc android từ Kaspersky vào tháng 10 năm 2019, hoạt động với năm phiên bản trojan khác nhau được phát hành trong 5 tháng qua (tháng 6 – tháng 11 năm 2019).

Họ cho biết, Ginp được xây dựng mới hoàn toàn và bao gồm một số đoạn mã được sao chép từ trojan ngân hàng Anubis khét tiếng.

Nó hoạt động như thế nào?

Khi mã độc lây nhiễm vào thiết bị, nó sẽ bắt đầu bằng cách xóa biểu tượng của nó khỏi thư mục ứng dụng. Sau đó, nó sẽ yêu cầu nạn nhân cấp đặc quyền dịch vụ trợ năng (Accessibility Service). Ngay khi người dùng cấp đặc quyền, Ginp tự cấp cho mình các quyền bổ sung cần thiết để gửi tin nhắn và thực hiện các cuộc gọi mà nạn nhân không hề hay biết.

Phiên bản gần đây nhất của Ginp có các khả năng giống như hầu hết các trojan ngân hàng trên nền tảng android khác, chẳng hạn như sử dụng các cuộc tấn công lớp phủ (overlay attack), kiểm soát SMS và thu thập danh sách liên hệ. Nhìn chung, nó có các tính năng phổ biến, nhưng dự kiến ​​sẽ được mở rộng trong các bản cập nhật trong tương lai. Vì Ginp đã sử dụng một số đoạn mã từ trojan Anubis, nên nhiều khả năng các tính năng nâng cao khác từ Anubis hoặc phần mềm độc hại khác chẳng hạn back-connect proxy, screen-streaming và RAT cũng sẽ được thêm vào trong tương lai.

Theo ThreatFabric, Ginp bao gồm một số tính năng:

  • Thu thập danh sách SMS
  • Chuyển tiếp SMS
  • Gửi SMS
  • Thu thập danh sách liên hệ
  • Chuyển tiếp cuộc gọi
  • Liệt kê danh sách ứng dụng
  • Cập nhật danh sách mục tiêu
  • Self-protect: Ẩn biểu tượng ứng dụng
  • Self-protect: Ngăn chặn gỡ bỏ
  • Self-protect: Phát hiện trình mô phỏng

Các chuyên gia bảo mật cho rằng Ginp là một trojan ngân hàng hiệu quả được sử dụng để đánh lừa nạn nhân cung cấp các thông tin nhạy cảm. Ginp không chỉ tập trung vào các ngân hàng Tây Ban Nha mà hiện nay còn mở rộng ra các ứng dụng nhắm mục tiêu vào nhiều ngân hàng khác nhau trên thế giới.

Nguồn: cisomag.com