Ginp銀行木馬使用螢幕覆蓋攻擊,竊取帳密和信用卡資料

會竊取使用者登入帳密和信用卡資料的 Ginp 銀行木馬(趨勢科技偵測為AndroidOS_Ginp.HRXB),使用了部分因網路間諜活動而惡名昭彰 Anubis 的程式碼。

延伸閱讀 安卓手機變成竊聽錄音機!駭客組織利用 PoriewSpy對 Android 用戶進行間諜攻擊


在受害裝置上執行後,Ginp會移除自己的圖示,接著向使用者要求無障礙服務權限。一旦取得權限,它會給予自己傳送訊息和撥打電話的權限。

Ginp可以根據接收到的命令來發送或收集簡訊。還可以要求管理員權限、啟用覆蓋攻擊、更新命令和控制(C&C)網址、更新目標列表、將自己設成預設的簡訊應用程式、防止使用者停用無障礙服務、獲取已安裝的應用程式或聯絡人列表、啟用來電轉接、隱藏自己並防止刪除等功能。

值得注意的是,Ginp會誘騙受害者提供登入帳密和信用卡資料,聲稱這些資訊是用來驗證使用者身份。

Ginp 五個月來的演變

在第一版中,Ginp偽裝成 Google Play驗證程式,主要是會竊取簡訊。在八月,它偽裝成 Adob​​e Flash Player來針對信用卡資訊。下一代版本加強了惡意檔案混淆技術,並開始針對Snapchat和Viber使用者及特定的銀行應用程式。

之後,Ginp作者從Anubis惡意軟體借用了程式碼,該惡意軟體原始碼在今年早些時候流出。這個版本值得注意的是切換成新的覆蓋攻擊目標列表,主要針對銀行應用程式使用者。趨勢科技的行動威脅分析師Tony Bao在幾個月前發現同類型的Anubis變種(趨勢科技偵測為AndroidOS_AnubisDropper)。Bao的研究中所分析的Anubis變種會針對188個銀行及金融相關應用程式。

而最新版本的Ginp進行了少許修改,包括關於下載模組的新端點以及從Anubis借用的程式碼片段。這一版本的Ginp針對24個不同西班牙銀行應用程式的使用者。

資安建議

Ginp使用欺騙性的螢幕覆蓋攻擊來竊取登入帳密和信用卡資料,這提醒了使用者在安裝應用程式時要保持小心警慎。應該只從官方來源下載應用程式,來最大程度地減少下載到惡意應用程式的機會。

使用者和企業也可以利用如趨勢科技行動安全防護這樣的多層次的行動安全解決方案來保護行動裝置。趨勢科技的行動安全防護企業版還提供了裝置、合規性和應用程式管理,資料保護和設定配置,同時能夠保護裝置抵禦漏洞攻擊,防止未經授權的存取以及偵測並封鎖惡意軟體和詐騙網站。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習(Machine learning,ML)技術來涵蓋Android和iOS威脅。能夠保護裝置抵禦惡意軟體、零時差和已知漏洞攻擊、隱私外洩及應用程式漏洞等威脅。 

@原文出處:Ginp Trojan Targets Android Banking App Users, Steals Login Credentials and Credit Card Details