Cuidado si usas apps de bancos en Android

Ginp Troyano

Ginp es un malware que se hace pasar por las aplicaciones de siete bancos españoles y de esta manera obtener los datos de los usuarios.

Ginp se creó solo hace unos meses y forma parte de una campaña centrada en la banca española. Este malware se hace pasar por la aplicación de banco original que el usuario tiene en su teléfono Android. La finalidad es la de obtener las credenciales de acceso a la aplicación, el número de tarjeta de crédito y código CCV del usuario, para poder obtener de esta manera su dinero, sin que el usuario lo sepa.

Un aspecto que está sorprendiendo mucho es la sofisticación de Ginp. La aplicación que suplanta a la aplicación del banco original es idéntica a la real. Apenas se pueden encontrar diferencias entre las dos aplicaciones, lo que muestra el esmero del atacante en este sentido. Consigue que el usuario vaya a introducir sus datos en esta aplicación en Android, sin que se de cuenta de que es una aplicación falsa.

Otro aspecto que llama la atención es que este ataque se dirige de forma específica a bancos españoles. Son siete los bancos afectados, siete aplicaciones:

  • Bankia.
  • Bankinter.
  • BBVA.
  • Caixabank.
  • EVO Banco.
  • Kutxabank.
  • Banco Santander.

Millones de usuarios se podrían ver afectados por Ginp, por tanto. No se sabe muy bien el motivo por el que se ataca a usuarios y bancos en España, aunque parece que se trata de un grupo de atacantes extranjero.

Los atacantes tienen dos vías para robar: usando la tarjeta o haciendo una transferencia. Este malware tiene la capacidad de que si el código de confirmación que te manda el banco llega por SMS, la propia app lo puede reenviar. Se obtiene acceso al teléfono y a todas las credenciales del usuario de esta manera.

Cómo puede llegar a tu móvil

Una de las grandes preguntas es la forma en la que Ginp se ha colado en los teléfonos Android. Una de las maneras más habituales en su caso ha sido mediante spam, con enlaces en mensajes SMS, haciendo que los usuarios pulsaran en dicho enlace. También se ha sabido que se ha distribuido mediante anuncios web, en los que salta un pop up pidiendo instalar «Adobe Flash Player» en el teléfono. No se sabe aún con seguridad, pero otro método que podría haber sido usado es mediante alguna aplicación infectada en Google Play.