Este troyano está detrás del intento de phishing con el que intentaron suplantar al Ministerio de Sanidad
El troyano bancario que intentan distribuir los ciberdelincuentes y que afectó esta semana al Ministerio de Sanidad recibe el nombre de Ginp. Sus metas priorizan en España, en especial, las entidades bancarias españolas, usuarios españoles y hasta el Gobierno español es objetivo de sus ataques.
Ginp no es un troyano nuevo, sino que ya fue detectado a mediados del año pasado, cuando ya había realizado algún que otro ataque en el país. Por ejemplo, en noviembre de 2019 suplantó 24 apps de siete bancos españoles en Android, el troyano ya era capaz de desplegarse sobre las aplicaciones de muchas entidades bancarias, la mayoría de ellas españolas. Y en febrero de este año falsificó SMS entrantes para conseguir información sobre las tarjetas bancarias de sus víctimas. Ahora, aprovechando las crisis del COVID-19 ha decidido atacar al Ministerio de Sanidad.
Desde los inicios de la pandemia los ataques por parte de los ciberdelincuentes se han incrementado exponencialmente, fue el caso de la Organización Mundial de la Salud. En este ataque de phishing los cibercriminales buscaban utilizar un presunto comunicado del Gobierno para engañar a sus víctimas e instalar un troyano bancario en el mayor número de dispositivos posibles.
La acción maliciosa se paró gracias a ESET, la compañía de ciberseguridad eslovaca, que publicó un articulo dando la voz de alarma el pasado lunes. En este artículo, Lukas Stefanko, investigador especializado en entornos Android de ESET, explicaba que la falsa página del Ministerio de Sanidad, aprovechándose de la incertidumbre de los ciudadanos y el apetito generalizado de querer saber más sobre la situación del país. Los atacantes animaban a los usuarios a descargarse una aplicación de teléfono, engañándolos, pensando que recibirían información oficial sobre el COVID-19 y la situación actual en España debido al coronavirus.
En cambio, lo único que se descargaba era un programa malicioso, con el objetivo de robar las credenciales bancarias del atacado. Y los usuarios, en vez de recibir información oficial relacionada con el COVID-19, en realidad solo terminan infectando su dispositivo con una nueva versión del troyano bancario Ginp.
El código de Ginp está basado, en gran medida, al de Anubis, un troyan0 que se inició como programa malicioso pensado para el ciberespionaje pero evolucionó a troyano bancario, que a pesar de ya haberse filtrado sigue teniendo varias campañas activas.
En definitiva, es de esperar que los delincuentes utilicen situaciones como la actual para propagar sus ciberamenazas y conseguir nuevas víctimas. Pero, como usuarios podemos evitar ser víctimas de estos piratas informáticos, y no caer en sus trampas. Para ello, debemos contar con una solución de seguridad en todos nuestros dispositivos, tanto personales como profesionales. Además, de prestar especial atención a detalles como las direcciones web a las que accedemos, para no confundir las páginas oficiales con las páginas maliciosas.