ginp-trojan - RunkIntel

# Ginp - Android Banking Trojan > [!high] Trojan Bancário Android com Ataques de Sobreposição e Interceptação de SMS > O Ginp é um trojan bancário Android descoberto em 2019 que usa ataques de sobreposição em múltiplas etapas para roubar credenciais bancárias e dados de cartão de crédito, combinando código do trojan Anubis para ampliar suas capacidades. ## Descrição O [[ginp-trojan|Ginp]] é um trojan bancário para Android identificado pela primeira vez pela Kaspersky em outubro de 2019, com evidências de atividade desde junho daquele ano. O malware foi desenvolvido do zero e passou por pelo menos cinco versões nos primeiros meses após sua descoberta, demonstrando desenvolvimento ativo e iterativo por parte dos seus autores. Em novembro de 2019, os desenvolvedores integraram código diretamente do código-fonte vazado do trojan [[anubis-banking-trojan|Anubis]], expandindo significativamente as funcionalidades do Ginp. O Ginp se distingue pela sua estratégia de **ataque de sobreposição em múltiplas etapas**: ao contrário de outros trojans que exibem uma única tela falsa, o Ginp exibe duas sobreposições consecutivas - a primeira para capturar credenciais de login e a segunda, apresentada como "válidação de identidade", para coletar dados de cartão de crédito. Após a vítima inserir informações na segunda sobreposição, o malware remove aquele aplicativo da lista de alvos futuros para evitar levantar suspeitas. O malware se instala tipicamente disfarçado de aplicativo falso do **Adobe Flash Player** e explora o **Serviço de Acessibilidade do Android** para obter controle amplo do sistema. O vetor de interesse para análise de espionagem é que os autores parecem ter familiaridade com aplicativos bancários espanhóis, sugerindo que operadores podem ter conexão geográfica ou cultural com a Espanha. Para o contexto LATAM, a ameaça é relevante dado que trojans bancários da mesma família frequentemente expandem alvos para outros países de língua espanhola e portuguesa. A capacidade de **interceptação de SMS** é particularmente crítica: ao interceptar os códigos OTP enviados por bancos via mensagem de texto, o Ginp pode autorizar transações fraudulentas sem que a vítima perceba, contornando a autenticação de dois fatores baseada em SMS que ainda é amplamente utilizada por instituições financeiras na América Latina. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Collection | [[t1417-002-gui-input-capture\|T1417.002]] | Sobreposição de telas falsas para capturar credenciais | | Collection | [[t1533-data-from-local-system\|T1533]] | Extração de dados locais do dispositivo | | Collection | [[t1412-capture-sms-messages\|T1412]] | Interceptação de SMS e códigos OTP bancários | | Defense Evasion | [[t1628-001-suppress-application-icon\|T1628.001]] | Ocultação do ícone do aplicativo para persistência oculta | | Collection | [[t1513-screen-capture\|T1513]] | Captura de tela e monitoramento de atividade | | Discovery | [[t1430-location-tracking\|T1430]] | Rastreamento de localização e coleta de contatos | ## Grupos que Usam Nenhum ator de ameaça específico foi públicamente identificado como operador do Ginp. Pesquisadores da ThreatFabric e Kaspersky identificaram indicadores que sugerem que os autores têm familiaridade com o ecossistema bancário espanhol. O malware compartilha código com o [[anubis-banking-trojan|Anubis]], um trojan bancário de origem diferente. **Setores alvejados:** [[financial|financeiro]] - [[banking|bancário]] ## Detecção - Monitorar solicitações de permissão do Serviço de Acessibilidade do Android por aplicativos não legítimos, especialmente aqueles que se disfarçam como Adobe Flash Player ou atualizações de sistema - Implementar soluções de Mobile Threat Defense (MTD) que detectem comportamento de sobreposição de telas sobre aplicativos bancários legítimos - Auditar aplicativos instalados fora da Google Play Store (sideloading), pois o Ginp é distribuído por canais não oficiais - Monitorar interceptação anômala de SMS, especialmente mensagens direcionadas a números de bancos ou serviços financeiros ```sigma title: Ginp - Suspicious Android Accessibility Service Abuse status: experimental logsource: product: android service: accessibility detection: selection: EventType: 'AccessibilityServiceEnabled' PackageName|contains: - 'flash' - 'update' - 'player' condition: selection level: high tags: - attack.collection - attack.t1417.002 ``` ## Relevância LATAM/Brasil O Ginp foi identificado inicialmente com foco em bancos espanhóis, mas o vetor de ameaça é altamente relevante para o Brasil e a América Latina por razões estruturais. Primeiro, o Brasil possui o maior ecossistema de banking mobile da América Latina, com mais de 60 milhões de usuários de aplicativos bancários, tornando-o um alvo de alto valor para trojans bancários. Segundo, a **autenticação por SMS** (2FA via mensagem de texto) é ainda amplamente adotada por bancos brasileiros como segundo fator, sendo diretamente vulnerável à interceptação de SMS que é uma capacidade central do Ginp. Terceiro, trojans da mesma família (Anubis, Cerberus) têm histórico documentado de adaptação para alvos brasileiros. A família de trojans bancários Android continua sendo uma das ameaças mais presentes no setor financeiro da LATAM, com grupos como [[grupo-prilex|Prilex]] demonstrando que o ecossistema criminoso regional tem capacidade técnica equivalente. **Setores impactados:** [[financial|financeiro]] - [[banking|bancário]] ## Referências - [1](https://attack.mitre.org/software/S0423/) MITRE ATT&CK - Ginp Software Profile (S0423) - [2](https://www.threatfabric.com/blogs/ginp_a_malware_patchwork_borrowing_from_anubis) ThreatFabric - Ginp: A Malware Patchwork Borrowing from Anubis (2019) - [3](https://www.kaspersky.com/blog/ginp-mobile-banking-trojan/32478/) Kaspersky - Ginp Mobile Banking Trojan Analysis (2019) - [4](https://zimperium.com/glossary/ginp) Zimperium - Ginp Android Banking Trojan Overview