تروجان اندرویدGinp اپلیکیشن‌های بانکی را هدف قرار می‌دهد و 2FA/SMS را تهدید می‌کند

محققان ThreatFabric، شرکت امنیت سایبری مستقر در آمستردام، در جستجوی "نوع جدید و جالب از بدافزار بانکی" موسوم به Ginp که به عنوان Adobe Flash Player توزیع شده است می‌باشند.
این بدافزار برای اولین بار توسط تاتینانا شیشکووا، تحلیلگر بدافزار اندرویدی کسپرسکی در اواخر اکتبر شناسایی شد. Ginp در حال حاضر کاربران در انگلستان و اسپانیا را هدف قرار داده است.  محققان تصور می کنند که Trojan در واقع در ژوئن سال 2019 راه اندازی شد و هنوز در مرحله توسعه فعال قرار دارد.
به گفته محققان ، مجرمان سایبری حداقل پنج نسخه مختلف از Ginp را در طی پنج ماه گذشته منتشر کرده‌اند، که نشان دهنده این موضوع است که چگونه مجرمان سایبری مشتاقانه برای به روز سازی این تروجان تلاش می‌کنند.
تحلیلگران ThreatFabric ادعا می‌کنند که Ginp بی‌نظیر است زیرا پایگاه کد آن از ابتدا ساخته شده است و دائماً از طریق به روزرسانی‌ها گسترش می‌یابد.  لیست هدف آن نیز محدود است زیرا اهداف اصلی آن بانکهای اسپانیا است. کد گینو از کد مشهور Trojan به نام Anubis کپی شده است.
محققان ادعا می‌کنند که شباهت‌های چشمگیری بین کد هر دو تروجان وجود دارد، اما نمی‌توان گفت که Ginp همانند Anubis است، بلکه از آنوبیس الهام گرفته شده است.  به این ترتیب، Ginp اثری از برخی از کدهای Anubis دارد و نام اجزای هر دو Trojans یکسان است.
این بدافزار با استفاده از دسترسی به دستگاه هدف در مبدل یک برنامه معتبر ، کار می‌کند.  به محض اینکه این بدافزار به دستگاه دسترسی پیدا کرد، نماد برنامه را مخفی کرده و درخواست دسترسی به سرویس را می‌دهد.  وقتی کاربر اجازه ورود می‌دهد، به طور خودکار مجوزهای پویا را دریافت می‌کند.  با استفاده از این مجوزها، بدافزار می‌تواند به راحتی پیام ارسال کند، تماس برقرار کند و بدون اینکه به کاربر هشدار دهد دست به حمله بزند.
ویل لاسالا، مدیر راه حل های امنیتی OneSpan می‌گوید :
"تهدیدهای این نرم‌افزارهای مخرب موبایل به طور فزاینده‌ای در حال تغییر هستند.  برنامه بدافزاری که دیروز در راس برنامه‌های تهدید کننده قرار داشت ممکن است لو برود و متوقف شود اما در مورد Ginp، می‌توان از همان کد استفاده مجدد کرد و در تهدیدهای جدیدتر و قوی‌تر را ایجاد کرد.  این تهدیدات جدید قابلیت‌هایی را به وجود می‌آورد که در آن اجرای احراز هویت چند عاملی به جای ارسال پیام کوتاه برای کلمات عبور یک بار مصرف انجام می‌شود.  بانک‌ها باید همیشه شاخص تهدید خود را ارزیابی کرده و اطمینان حاصل کنند که از سیستم‌های عامل انعطاف پذیر که می‌توانند فن آوری‌های جدیدتر را شناسایی و اجرا کنند، جلوتر هستند."
در ژوئن سال 2019 ، بدافزار Ginp برای اولین بار در فروشگاه Play به عنوان برنامه Google Play Verificator عرضه شد؛  در ابتدا وظیفه اصلی آن سرقت پیامک‌ها بود.  با این وجود ، تا اوت سال 2019 ، نسخه دیگری از این بدافزار عرضه شد که به عنوان برنامه Adobe Flash Player در نظر گرفته است.

android-trojan-targets-banking-apps-2fa-sms-3-597x1024_0.jpg

تصویر: ThreatFabric
بر اساس پست وبلاگ ThreatFabric، این بدافزار می‌تواند بسیاری از کارکردهای دیگر مانند سوءاستفاده از سرویس دسترسی را برای تبدیل شدن به برنامه پیامک پیش فرض و انجام حملات انجام دهد.  به دنبال آن، دو نسخه جدید از این بدافزار عرضه شدند که در درجه اول رسانه‌های اجتماعی و برنامه‌های بانکی را هدف قرار می‌دادند.
نسخه فعلی به عنوان برنامه‌های بانکی قانونی توزیع می‌شود که بیشتر مربوط به بانک‌های اسپانیایی است و برخی از اهداف آن قبلاً در هیچگونه فعالیت بدافزار دیگری مشاهده نشده است.  در مجموع 24 برنامه با Ginp آلوده شده و همه آنها به 7 بانک اسپانیایی از جمله Bankinter، Bankia، BBVA ، Caixa Bank ، EVO Banco ، Santander وKutxabank تعلق دارند.

android-trojan-targets-banking-apps-2fa-sms-2-768x943.jpg

تصویر: ThreatFabric
طبق گفته محققان ،Ginp ممکن است مورد دستکاری‌های دیگری قرار گرفته باشد و بسیاری از ویژگی‌های مخرب جدید را در کنار گسترش اهداف خود به نمایش بگذارد.  برای کاربران اندرویدی ، توصیه‌های HackRead یکسان است: از آنتی ویروس قابل اعتماد در تلفن خود استفاده کنید، سیستم عامل آن را به روز کنید و از بارگیری برنامه‌ها از فروشگاه‌های برنامه شخص ثالث خودداری کنید.