Posté le novembre 28, 2019 à 7:20

D’AUTRES PROBLÈMES APPARAISSENT À MESURE QUE LES LOGICIELS MALVEILLANTS S’ATTAQUENT AUX APPLICATIONS BANCAIRES

Maintenant baptisé Ginp, c’est un cheval de Troie qui offre à de nombreux experts en sécurité des nuits blanches. Il s’est avéré que ce logiciel malveillant insaisissable évolue sans cesse. Les experts de ThreatFabric ont pris le temps de suivre et d’observer cette nouvelle menace.

New Android banking Trojan family #Ginp targeting Spain ?? and UK ??. Latest versions imitate Adobe Flash Player and decrypt payload from assets. Abuses Accessibility Service, sets itself as default SMS app, gets phishing injects from C&C server. (1/2) pic.twitter.com/fxCE5yeFUl

— Tatyana Shishkova (@sh1shk0va) October 23, 2019

L’entreprise de cybersécurité basée à Amsterdam a décrit la menace comme une nouvelle source intéressante de logiciels malveillants bancaires. Appelé Ginp, son mode de distribution est dit via Adobe Flash Player.

Des ennuis à l’horizon

Ce bug a été remarqué pour la première fois fin octobre lorsque Tatiana Shishkova l’a détecté. Shishkova travaille avec Kaspersky en tant qu’analyste des logiciels malveillants pour Android.

Pour l’instant, on pense que la cible principale du virus se trouve être les utilisateurs en Espagne et au Royaume-Uni. Les analystes pensent que le cheval de Troie a vu le jour à la mi-juin de cette année. Ils ont ajouté que l’on croyait que le virus n’était pas encore complètement développé et que son créateur le travaillait toujours.

Les analystes ont également précisé que les cybercriminels n’ont lancé pas moins de cinq types différents de Ginp au cours des cinq derniers mois seulement. On dit que cela reflète la passion avec laquelle les criminels se servent pour faire avancer leur programme et travailler sur le cheval de Troie.

Menace en évolution

Les experts en sécurité de ThreatFabric sont d’avis que Ginp est dans une catégorie différente et devrait être traité comme tel. C’est parce que le cheval de Troie a été entièrement conçu à partir de zéro, et le contraire est aussi possible. Les concepteurs travaillent sans cesse à l’améliorer et le font via des mises à jour régulières.

Récemment, il a été clairement observé que les banques visées sont des banques domiciliées principalement dans le pays du sud de l’Europe, l’Espagne. Le code qui a été utilisé dans Gino est un code qui a été pris de celui utilisé pour un autre cheval de Troie bien connu. Le logiciel malveillant auquel il est fait référence ici est celui connu sous le nom d’Anubis.

Les experts ont également déclaré que les codes utilisés pour le développement de ces logiciels malveillants présentaient de nombreuses caractéristiques communes. Cependant, cela ne veut pas dire que Ginp est une réplique directe d’Anubis.

Ce que l’on peut vraiment conclure ici, c’est que Ginp peut être décrit comme étant inspiré par le logiciel malveillant Anubis. Ceci explique pourquoi Ginp a des lignes de code très similaires à celles utilisées également pour Anubis. Ils ont également de nombreux éléments en commun.

Quant à la manière de fonctionner, le logiciel malveillant Ginp fonctionne en infiltrant le gadget ciblé en faisant semblant d’être une application réelle et authentique. Immédiatement, le bug peut accéder à ce gadget, il masque l’icône de l’application, puis demande les autorisations du service d’accessibilité.

Une fois que l’utilisateur donne la permission, il donne immédiatement au bug des permissions dynamiques. À partir de ce moment, il est libre de causer le plus de ravages possible.