Así funciona Ginp, el troyano bancario que pone su diana en España y que está detrás del 'phising' con el que los ciberdelincuentes intentaron suplantar al Ministerio de Sanidad

Salvador Illa, ministro de Sanidad, en una rueda de prensa antes de la cancelación del Mobile World Congress.
Salvador Illa, ministro de Sanidad, en una rueda de prensa antes de la cancelación del Mobile World Congress.
REUTERS/Nacho Doce
  • Un nuevo phising afectó esta semana al Ministerio de Sanidad: los ciberdelincuentes intentaban distribuir un troyano bancario llamado Ginp.
  • Ginp fue detectado a mediados del año pasado por los investigadores de Kaspersky, y desde entonces prioriza sus objetivos en España.
  • La diana la tiene puesta en el país: entidades bancarias españolas, usuarios españoles, y ahora, el mismísimo Gobierno español.
  • El objetivo de todo troyano bancario es robar las credenciales de los usuarios de las entidades bancarias para poder sustraer dinero de sus cuentas.
  • Descubre más historias en Business Insider España.

El Ministerio de Sanidad ha sido víctima de un phising, una técnica que los ciberdelincuentes emplean para hacer pasar sus páginas piratas por webs oficiales. El propósito que perseguían en este caso los criminales era la de utilizar un presunto comunicado del Gobierno para engañar a sus víctimas e instalar un troyano bancario en el mayor número de móviles posibles.

No es la primera vez que una administración se ve afectada por un ilícito de este tipo. La propia Organización Mundial de la Salud también se ha visto suplantada en plena pandemia del COVID-19 por parte de ciberdelincuentes que intentaban robar datos bancarios.

Fue ESET, la firma de ciberseguridad eslovaca, la primera en dar la voz de alarma. Josep Albors, jefe de Concienciación e Investigación de la firma en España, explica en un artículo publicado en el blog corporativo cuáles eran las direcciones que pretendían hacerse pasar por el Gobierno. Business Insider España ha podido comprobar que ambas direcciones ya están desactivadas.

Leer más: Así 'secuestraron' los ciberdelincuentes los ordenadores del mayor grupo de hospitales de Europa, dueño de Quirónsalud, en plena pandemia de coronavirus

La noticia se conoció el lunes gracias a Lukas Stefanko, el investigador de ESET especializado en entornos Android. La falsa página del Ministerio de Sanidad animaba a los usuarios a descargarse una aplicación de teléfono para recibir información oficial sobre el COVID-19 y la situación de la epidemia en España.

Evidentemente, lo que descargaba era un programa malicioso.

En concreto, se trataba de una versión del troyano bancario Ginp. Los troyanos bancarios son un tipo de malware cuyo objetivo es robar las credenciales bancarias de sus víctimas. Para ello, el modus operandi más común es el de generar un formulario falso en el teléfono objetivo con la idea de que el usuario introduzca sus contraseñas pensando que es una página real de inicio de sesión.

Lo llamativo, en este caso, es la persistencia de Ginp con sus objetivos. Ginp fue detectado por primera vez por la investigadora Tatyana Shishkova, de Kaspersky. El hallazgo se conoció en octubre de 2019, si bien se sabe que el troyano estuvo circulando por la red al menos desde junio, hace exactamente un año.

Ginp, un troyano bancario que mira a España

ThreatLab, una startup especializada en la investigación sobre troyanos bancarios, analizó en noviembre del año pasado el código de la muestra detectada de Ginp. Ya entonces, los analistas llamaron la atención en un aspecto: el troyano era capaz de desplegarse sobre las apps de muchísimas entidades bancarias. La mayoría de ellas, españolas.

En concreto, el troyano era capaz de 'asaltar' 24 apps de al menos 7 bancos españoles. CaixaBank, Bankia, BBVA, EVO Banco, Kutxabank y Santander, como remarcaba el diario El País en este artículo.

La 'obsesión' de Ginp con los objetivos españoles no termina ahí. Ya en plena pandemia de coronavirus, los analistas de Kaspersky detectaron una nueva versión del troyano. Esta venía bautizada como flash-2, mientras que en las versiones anteriores venía con el sobrenombre de flash-es12. "Quizá la falta de 'es' en la etiqueta de la nueva versión significa que los ciberdelincuentes planean expandir esta campaña más allá de España", destacaba en un comunicado la compañía rusa de ciberseguridad.

Leer más: Una peligrosa mafia de 'ransomware' se está ensañando con usuarios particulares: libera un 'antídoto' que en realidad es un programa que encripta de nuevo todos los archivos

Sea como fuere, en esta ocasión Ginp venía encubierto en una app falsa que prometía ser un 'rastreador' de coronavirus. Lejos de ser como la app que el Ministerio de Asuntos Económicos está desarrollando para ayudar al rastreo de contactos epidemiológicos, el propósito de esta aplicación era simplemente indicar quiénes estaban infectados a tu alrededor a cambio de que introdujeras los datos de tu tarjeta de crédito.

Ni explicaba cómo lo haría ni explicaba por qué había que pagar por la app. Simplemente, pedía la tarjeta de crédito.

Kaspersky, en su comunicado, abundaba en que las víctimas de esta nueva estafa volvían a ser usuarios españoles. "Una vez que introduzcas todos los datos de tu tarjeta, estos van a parar directamente a los delincuentes... y luego no sucede nada. Ni siquiera te cobrarán esta pequeña cantidad (¿para qué?, si ya tienen los fondos de tu tarjeta a tu disposición)".

La historia detrás del 'malware'

Ginp, este troyano bancario, copia bastante de su código de Anubis, un troyano cuyo código se filtró el año pasado pero que todavía mantiene varias campañas activas. Anubis, al igual que Cerberus, son dos importantes familias de troyanos bancarios que tienen capacidad de infectar a móviles Android y superponer formularios falsos sobre centenares de apps.

Anubis originariamente era un programa malicioso pensado para el ciberespionaje, pero evolucionó a troyano bancario, según advertía este mes de febrero el Centro de Defensa frente al Phising de Cofense.

Josep Albors, jefe de Concienciación e Investigación de ESET en España, detalla en su artículo cómo funciona este troyano, Ginp, frente a los usuarios españoles. Lejos de lo que pueda pensarse, los ciberdelincuentes que operan este tipo de programas están más implicados de lo que parece en que sus ilícitos tengan éxito.

Leer más: Apple y Google impiden una auditoría completa a su tecnología de rastreo y no se sabe si "extraen los datos que se generan", según denuncia un colectivo de activistas digitales

Así, una de las primeras cosas que hace Ginp cuando logra acceder e instalarse en el dispositivo de su víctima es solicitar el acceso a los permisos de Accesibilidad del teléfono. Solo de esta forma, el programa será capaz de 'leer' qué aplicaciones están ejecutadas en el teléfono móvil.

Una vez el usuario le concede —inconscientemente— estos permisos al troyano, este es capaz de remitir a los operadores qué apps hay presentes en el móvil que tengan que ver con banca online. De este modo, los criminales son capaces de prever si eres cliente de una entidad bancaria u otra, y elaborar una técnica de phising lo más sofisticada posible para que entregues tu contraseña y tus datos sin ser consciente.

"De esta forma, los delincuentes pueden preparar un ataque específico para cada una de sus víctimas que sea más difícil de detectar y que, por ende, tendrá mayores probabilidades de tener éxito", remacha el especialista de ESET.

Albors recuerda que, "como usuarios", se puede evitar caer en este tipo de trampas si "además de contar con una solución de seguridad en el dispositivo" se le presta atención "a detalles como las direcciones web utilizadas por los delincuentes para alojar este tipo de páginas maliciosas".

LEER TAMBIÉN: Estas apps para editar vídeo con más de 150 millones de descargas están vinculadas con troyanos que roban datos bancarios y espían a sus usuarios

LEER TAMBIÉN: eBay 'registra' tu ordenador cada vez que entras en su web para comprobar que tu sistema no está hackeado y preparado para hacer compras fraudulentas

LEER TAMBIÉN: El PP europeo demandará a la empresa de servidores que alojaba sin protección las contraseñas de miles de políticos, funcionarios y periodistas

VER AHORA: Hay mundo más allá de los perfiles tecnológicos: estas son las habilidades más demandadas ahora mismo, según el CEO de LinkedIn España