L'ANALISI TECNICA

Ginp, il trojan Android che finge di segnalare i contagiati da Coronavirus

Si chiama Ginp il mobile banking trojan che, in cambio di una piccola somma di denaro, promette di visualizzare la posizione delle persone risultate positive al coronavirus. In realtà il suo scopo è, ovviamente, quello di rubare i dati delle carte di credito delle vittime. Ecco i consigli per non cadere in questa subdola trappola

25 Mar 2020
Paolo Tarsitano

Editor Cybersecurity360.it


Tra le numerose campagne di attacco che sfruttano l’emergenza coronavirus per colpire le ignare vittime giustamente desiderose di ottenere informazioni aggiornate sulla diffusione del Covid-19, ce n’è una particolarmente insidiosa che sta colpendo gli utenti Android mediante il mobile banking trojan Ginp.

Come funziona il trojan Ginp

“Ginp si installa via link che arriva via whatsapp, sms e mail anche da mittenti presi dalla rubrica della vittima”, spiega Paolo dal Checco, noto informatico forense. “Il link porta a un’app da installare, che contiene il trojan”.

Dopo aver compromesso lo smartphone della vittima, il trojan Ginp entra subito in azione ricevendo dal server C2 controllato dai criminal hacker un comando che gli consente di avviare il Coronavirus finder, una finta applicazione Web che carica sul dispositivo una pagina in cui, in cambio di un piccolo contributo economico di 0,75 euro, promette di mostrare la posizione delle persone risultate positive al coronavirus e che si trovano nelle vicinanze.

Per convincere la vittima ad utilizzare questo particolare “servizio”, Ginp usa un’esca particolarmente subdola: la pagina Coronavirus finder, infatti, afferma che 12 persone infettate dal Covid-19 si trovano nelle sue vicinanze e promette di mostrare la loro esatta posizione.

Se la vittima accetta di visualizzare queste informazioni, viene reindirizzata ad una nuova pagina Web sulla quale può effettuare il pagamento. Una volta inseriti i dati della carta di credito, però, la vittima non riceve né l’addebito della somma di denaro richiesta né le informazioni relative alle persone “infette”.

Lo scopo dei criminali informatici è infatti esclusivamente quello di entrare in possesso delle credenziali della carta di credito dell’utente nel momento in cui vengono inserite per effettuare il pagamento.

Secondo i ricercatori Kaspersky che hanno individuato la nuova campagna malevola, per realizzare l’operazione “Coronavirus finder” i criminal hacker avrebbero preso spunto dall’applicazione “Shield” recentemente rilasciata dal Ministero della Salute israeliano che avvisa gli utenti qualora si fossero trovati in una località nello stesso momento di un’altra persona già identificata come vettore del Coronavirus.

WEBINAR
Come (e perché) garantire la security by default con IT ibrido e multicloud
Cloud
Sicurezza

I dati sulla diffusione di Ginp mostrano che i principali obiettivi del mobile banking trojan sono stati finora gli utenti spagnoli, ma i ricercatori avvertono che questa operazione potrebbe espandersi rapidamente oltre il territorio iberico.

I consigli per difendersi

Al momento, il modo migliore per rendere inefficace la campagna malevola condotta con il trojan Ginp è quello di rimanere a casa. Questa misura preventiva, raccomandata anche dall’OMS, assicura infatti il rispetto della distanza di sicurezza dalle persone portatrici di Covid-19.

È importante, inoltre, fidarsi esclusivamente dei dati e delle eventuali applicazioni ufficiali rilasciate dai governi dei Paesi colpiti dalla pandemia, gli unici ad avere le informazioni esatte sulla diffusione del coronavirus.

“I criminali informatici hanno cercato per mesi di approfittare della crisi generata dal coronavirus lanciando attacchi di phishing e creando malware a tema. Questa è la prima volta, però, che vediamo un trojan bancario tentare di capitalizzare sulla pandemia. È una situazione allarmante, soprattutto perché Ginp è un trojan molto efficace. Per questo motivo incoraggiamo gli utenti di Android a prestare molta attenzione e a guardare con scetticismo a pop-up, pagine web sconosciute e messaggi sul coronavirus”, ha affermato Alexander Eremin, Security Expert di Kaspersky.

Per ridurre i rischi legati al trojan Ginp o ad altri mobile banking trojan, gli esperti di Kaspersky suggeriscono queste semplici regole di sicurezza informatica:

  • scaricare solo le applicazioni presenti sugli store ufficiali di Android;
  • non cliccare su link sospetti e non rivelare mai informazioni sensibili, come le password o le credenziali della carta di credito;
  • installare sul proprio smartphone o sul tablet una soluzione di sicurezza affidabile che protegga da una ampia gamma di minacce, tra cui proprio i mobile banking trojan.

È utile sottolineare, infine, che il trojan Ginp colpisce esclusivamente i telefoni cellulari con sistema operativo Android e non gli iPhone con iOS di Apple.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5