Un usuario de Android abre su aplicación del banco. Si el malware Ginp se ha colado en su móvil, detectará ese movimiento y sobrepondrá una pantalla calcada a la del banco por encima de la app legítima, pero obviamente con una finalidad distinta. Primero pedirá las credenciales para acceder y después la tarjeta, con su fecha de caducidad y el número CVV. El usuario creerá que está usando la app del banco, pero estará dando sus datos a los ladrones, según informa el diario El País.
El ataque es sorprendentemente sofisticado para lo que es habitual en bancos españoles. "La página falsa del phishing es prácticamente idéntica a la original. Alguien se ha tomado su tiempo en copiarla tal cual", explica Santiago Palomares, analista de malware en Threatfabric, start-up holandesa especializada en troyanos bancarios que ha analizado el código de Ginp.
Tanto esmero en la copia de la página es raro en móviles Android y excepcional en malware dirigido a bancos españoles: "Ningún otro malware para empresas españolas se parecía tanto al banco legítimo. Lo más habitual era crear una página estándar y cambiar solo logo y color. Pero Ginp no: emula incluso una página de carga específica que tiene por ejemplo Bankia, incluso con los tiempos de carga de esas aplicaciones", añade Palomares.
Los siete bancos afectados son Caixabank, Bankinter, Bankia, BBVA, EVO Banco, Kutxabank y Santander.
Los actores maliciosos tienen dos vías para robar: uno, usar la tarjeta. Dos, hacer una transferencia. Si el código de confirmación llega por SMS, la misma app maliciosa puede reenviarlo. "Infectando el teléfono, tienes acceso a los SMS, de modo que si consigues las credenciales y los datos de la tarjeta significa que puedes realizar transacciones en casi cualquier comercio", dice Palomares.
¿Cómo detectar que un móvil está infectado? Cuando se lanza la app del banco, el efecto de la aparición de la pantalla maliciosa es similar a cuando se pasa de una aplicación a otra en móviles Android. "Si miras entonces en la lista de apps que tienes abiertas ves una sin nombre como la más reciente, abierta después de la del banco", explica Palomares. Este tipo de ataque se llama overlay. Consiste en ponerse encima de la app bancaria mediante un permiso de Android. Google ha hecho que cada vez sea más difícil de lograr, pero sigue ocurriendo.
Tienes que iniciar sesión para ver los comentarios