Некоторые вредоносные приложения пользуются правом на отправку SMS более креативно — например, устраивают массовую рассылку с оскорблениями . А зловред Ginp, которого мы впервые обнаружили осенью прошлого года , умеет создавать на телефоне жертвы входящие SMS, которых на самом деле вообще никто не посылал. И не только SMS! Но давайте начнем с начала.
Что умеет банковский троян Ginp
Изначально Ginp обладал довольно стандартным для банковских троянов набором умений: отправлял полный список контактов жертвы своим создателям, перехватывал SMS и воровал данные банковских карт, перекрывая окна приложений фишинговыми страницами.
Для своих темных делишек зловред пользовался « Специальными возможностями » (Accessibility) — набором функций Android для слабовидящих пользователей. Это тоже не редкость: банковские трояны и многие другие зловреды очень любят эти функции за то, что они позволяют приложению «видеть» все, что отображается на экране, и нажимать любые кнопки и ссылки — в общем, хозяйничать на вашем телефоне.
Однако впоследствии авторы Ginp не раз пополняли его арсенал, добавляя более оригинальные возможности. Так, зловред начал использовать push-уведомления и всплывающие сообщения, чтобы убедить жертву открыть нужное ему приложение — из числа тех, которые банковский троян умеет перекрывать фейковой страницей. Текст уведомлений усыпляет бдительность пользователя: они построены так, чтобы далее ожидалась форма ввода данных кредитки. Вот пример (на испанском языке):
Google Pay: Nos faltan los detalles de su tarjeta de crédito o débito. Utilice Play Store para agregarlos de manera segura.
(«Google Pay: нам не хватает данных вашей кредитной или дебетовой карты. Используйте Play Маркет, чтобы безопасно их добавить».)
Если пользователь поверит и откроет Play Маркет, он увидит вполне ожидаемое окно для ввода данных карточки. Вот только на самом деле форму ввода данных карты покажет не Google Play, а троян — и эти данные отправятся хозяевам зловреда.
Так — к сожалению, вполне убедительно — выглядит фейковое окно для ввода данных банковской карточки якобы в приложении Play Маркет
Впрочем, Ginp не ограничивается Play Маркетом, он выводит уведомления и от имени банковских приложений:
B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26.
(«B**A: подозрительная активность в вашем аккаунте B**A. Пожалуйста, проверьте последние транзакции и позвоните 91 *** ** 26».)
Любопытно, что здесь указан настоящий телефон банка, и на том конце провода вам, скорее всего, скажут, что с вашим счетом все в порядке. Но если вы решите проверить «подозрительные транзакции» через приложение, что вполне логично сделать в такой ситуации перед тем, как звонить в банк, зловред перекроет его фейковым окном и потребует данные карточки.
Очень правдоподобные фейковые SMS
В начале февраля наша система мониторинга активности ботнетов — Botnet Attack Tracking — обнаружила у Ginp еще одну новую способность: создавать фейковые входящие SMS. Задача у них все та же — убедить пользователя открыть нужное приложение и усыпить бдительность. При этом троян может сгенерировать SMS с любым текстом и указать любого отправителя. Ничто не мешает злоумышленникам, например, «присылать» жертвам правдоподобные эсэмэски от банков или того же Google.
Сообщение якобы от банка о том, что пользователя ожидает платеж, который нужно подтвердить в мобильном приложении
Если push-уведомления пользователь может смахнуть не глядя, то входящую SMS он, скорее всего, рано или поздно увидит и прочитает. И с большой вероятностью откроет приложение, чтобы проверить, что происходит с его счетом. В этот-то момент троян и подсунет ему фейковую форму для ввода данных карты.
Как защититься от банковского трояна Ginp
Сейчас Ginp атакует в основном испанцев, но его вкусы уже менялись: раньше он уделял внимание также пользователям из Польши и Великобритании. А значит, даже если вы живете в другой стране, не стоит забывать о правилах кибербезопасности. Чтобы не стать жертвой банковских троянов:
Скачивайте приложения только из Google Play.
Запретите установку программ из сторонних источников в настройках устройства. Так вы сведете к минимуму вероятность заражения.
Не переходите по ссылкам из SMS, особенно если сообщение вызывает вопросы. Скажем, если друг неожиданно шлет фото в виде ссылки в текстовом сообщении, а не через соцсеть или мессенджер, — это подозрительно.
Не выдавайте каким попало приложениям права на доступ к «Специальным возможностям» — программ, которым они действительно нужны, крайне мало.
Также с осторожностью относитесь к приложениям, которые требуют доступ к SMS.
Установите на телефон надежное защитное решение. Например, Kaspersky Internet Security для Android успешно обнаруживает и Ginp, и многие другие угрозы.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
![]()
Гвардиола: "Грилиш - ўзига хос футболчи, у футбол ўйнаши керак""Манчестер Сити" клуби бош мураббийи Хосеп Гвардиола вингер Жек Грилиш нима учун ёзда АҚШда бўлиб ўтадиган клублар ўртасидаги ЖЧ-2025...
-
![]()
Алонсо "Ал-Ҳилол"нинг даражасини баҳоладиМадриднинг "Реал" клуби бош мураббийи Хаби Алонсо бўлажак рақиб - "Ал-Ҳилол" ҳақида қандай фикрда эканини айтди.
-
![]()
"Реал" устози Алонсо Трент ва Хейсен ҳақида фикр билдирдиМадриднинг "Реал" клуби устози Хаби Алонсо июнь ойида жамоа сафига қўшилган Трент Александр-Арнольд ва Дин Хейсен ҳақида гапирди.
-
![]()
"Реал" Мбаппе шифохонага ётқизилганини хабар қилдиМадриднинг "Реал" клуби юлдузи Килиан Мбаппе шифохонага тушиб қолди.
-
![]()
Гвардиола Клопп билан "узоқ суҳбат" ҳақида гапирди"Манчестер Сити" бош мураббийи Хосеп Гвардиола янги ёрдамчиси Пепейн Лейндерс ҳақидаги саволга жавоб берар экан, Юрген Клопп билан...
-
![]()
«Andijon do‘ppisi» va «So‘qoq somsasi» geografik ko‘rsatkich sifatida ro‘yxatga olindi.Geografik ko‘rsatkich sifatida ro‘yxatdan o‘tkazilishi ularning kelib chiqish manbasini belgilaydi hamda sifati va madaniy qiymatini huquqiy...
