Un peligroso troyano suplanta las ¡®apps¡¯ de siete bancos espa?oles en Android

Un usuario de Android abre su aplicaci¨®n del banco. Si el malware?Ginp se ha colado en su m¨®vil, detectar¨¢ ese movimiento y sobrepondr¨¢ una pantalla calcada a la del banco por encima de la app leg¨ªtima, pero obviamente con una finalidad distinta. Primero pedir¨¢ las credenciales para acceder y despu¨¦s la tarjeta, con su fecha de caducidad y el n¨²mero CVV. El usuario creer¨¢ que est¨¢ usando la app del banco, pero estar¨¢ dando sus datos a los ladrones.

El ataque es sorprendentemente sofisticado para lo que es habitual en bancos espa?oles. "La p¨¢gina falsa del phishing es pr¨¢cticamente id¨¦ntica a la original. Alguien se ha tomado su tiempo en copiarla tal cual", explica Santiago Palomares, analista de malware en Threatfabric, start-up holandesa especializada en troyanos bancarios que ha analizado el c¨®digo de Ginp.

Tanto esmero en la copia de la p¨¢gina es raro en m¨®viles Android y excepcional en malware dirigido a bancos espa?oles: "Ning¨²n otro malware para empresas espa?olas se parec¨ªa tanto al banco leg¨ªtimo. Lo m¨¢s habitual era crear una p¨¢gina est¨¢ndar y cambiar solo logo y color. Pero Ginp no: emula incluso una p¨¢gina de carga espec¨ªfica que tiene por ejemplo Bankia, incluso con los tiempos de carga de esas aplicaciones", a?ade Palomares. Los siete bancos afectados son Caixabank, Bankinter, Bankia, BBVA, EVO Banco, Kutxabank y Santander.

Los actores maliciosos tienen dos v¨ªas para robar: uno, usar la tarjeta. Dos, hacer una transferencia. Si el c¨®digo de confirmaci¨®n llega por SMS, la misma app maliciosa puede reenviarlo. "Infectando el tel¨¦fono, tienes acceso a los SMS, de modo que si consigues las credenciales y los datos de la tarjeta significa que puedes realizar transacciones en casi cualquier comercio", dice Palomares.

?C¨®mo detectar que un m¨®vil est¨¢ infectado? Cuando se lanza la app del banco, el efecto de la aparici¨®n de la pantalla maliciosa es similar a cuando se pasa de una aplicaci¨®n a otra en m¨®viles Android. "Si miras entonces en la lista de apps que tienes abiertas ves una sin nombre como la m¨¢s reciente, abierta despu¨¦s de la del banco", explica Palomares. Este tipo de ataque se llama overlay. Consiste en ponerse encima de la app bancaria mediante un permiso de Android. Google ha hecho que cada vez sea m¨¢s dif¨ªcil de lograr, pero sigue ocurriendo.

La otra gran pregunta es c¨®mo se ha colado ese c¨®digo malicioso en el tel¨¦fono del usuario. Hay dos caminos b¨¢sicos. Primero, a trav¨¦s de un link. En el caso de Ginp, la oleada principal ha sido a trav¨¦s de spam con un enlace por SMS. El troyano secuestra luego la lista de contactos y reenv¨ªa el enlace a otros usuarios. Una investigadora de Kaspersky, que fue la primera que public¨® la existencia de Ginp, puso un ejemplo de uno de esos SMS, con una supuesta actualizaci¨®n de Android 10.

Otro modo en que este troyano se distribuye es con anuncios en web en los que salta un pop up que pide instalar "Adobe Flash Player" en el m¨®vil. Hace a?os que Flash no se usa en m¨®viles, pero es un reducto de la web que se ha quedado en nuestra memoria y es eficaz como anzuelo. Y obviamente en lugar del Flash hay c¨®digo malicioso. Otro peligro habitual que no parece haberse dado en este caso es mediante una aplicaci¨®n troyanizada en Google Play. Pueden ser linternas, hor¨®scopos, utilidades de bater¨ªa o de limpieza de tel¨¦fono.

Una vez est¨¢ dentro, la app tiene instrucciones de borrar su icono, de esconderse y no aparecer con un logo. Pero sigue ejecut¨¢ndose a la espera de que el usuario inicie una aplicaci¨®n del banco.

El motivo de la elecci¨®n de Espa?a como foco no est¨¢ claro. La penetraci¨®n de apps bancarias en Espa?a es alta y cada vez los bancos animan a sus clientes a emplearlas. "Es cierto que quiz¨¢ hay m¨¢s mercado", dice Sergio de los Santos, director de innovaci¨®n y laboratorio en ElevenPaths, unidad de ciberseguridad de Telef¨®nica Digital. "Porque no depende de lo bien o lo mal que lo hagan los bancos en ciberseguridad", a?ade.

El objetivo espa?ol no conlleva que los creadores del troyano sean tambi¨¦n espa?oles o conozcan la lengua. Hay de hecho algunas erratas en las capturas de pantalla que proporciona Threatfabric. "Tiene pinta de que no son espa?oles. Hay cosas en su servidor que est¨¢n en ruso. No suelen ser aislados", dice Palomares.

Ginp ha tenido cinco versiones en los ¨²ltimos cinco meses. Esta nueva versi¨®n fue creada en junio de 2019 y ha ido evolucionando. Primero trataba de robar tarjetas sobreponi¨¦ndose a aplicaciones m¨¢s habituales: Facebook, WhatsApp, Chrome, Skype y otras. En su tercera actualizaci¨®n pas¨® a centrarse en bancos espa?oles. Tambi¨¦n ha reutilizado elementos de Anubis, un c¨¦lebre troyano bancario cuyo c¨®digo fue filtrado este mismo a?o. "El malware bancario para Android m¨¢s popular de los ¨²ltimos tres a?os es Anubis, y fue recientemente filtrado despu¨¦s de que arrestaran a su creador. Es unos de los m¨¢s sofisticados y Ginp ha cogido algunas de sus funciones y las ha introducido en su c¨®digo. No ha incluido todas, y se espera que poco a poco introduzcan m¨¢s", explica Palomares. Es probable, por tanto, que Ginp siga evolucionando.