Ghimob: noul malware bancar vizeaza utilizatorii de telefonie mobila din intreaga lume!

Cand au monitorizat o campanie Windows de la grupul Guildma, cercetatorii Kaspersky au gasit adrese URL care distribuiau nu numai un fisier .ZIP rau intentionat pentru Windows, ci si un fisier periculos care parea a fi un program de descarcare pentru instalarea Ghimob – un nou troian bancar. Dupa infiltrarea in modul de accesibilitate, Ghimob poate castiga persistenta si poate dezactiva optiunea de dezinstalare manuala, captura date, manipula continutul ecranului si poate oferi control complet, de la distanta, actorilor din spatele acestuia. Potrivit expertilor, dezvoltatorii acestui troian mobil tipic, de acces la distanta (RAT) sunt foarte concentrati asupra utilizatorilor din Brazilia, dar au planuri mari de extindere pe tot globul. Campania este inca activa.

Guildma, un grup de atacatori cibernetici care face parte din seria Tétrade, cunoscut pentru activitatile sale daunatoare scalabile atat in ​​America Latina, cat si in alte parti ale lumii, a lucrat activ la noi tehnici, dezvoltand programe malware si vizand victime noi.

Noua sa creatie – troianul bancar Ghimob – atrage victimele sa instaleze fisierul rau intentionat printr-un e-mail care sugereaza ca persoana care il primeste are un fel de datorie. E-mailul include, de asemenea, un link care sa fie accesat de victima pentru a putea afla mai multe informatii. Odata ce RAT-ul este instalat, malware-ul trimite un mesaj despre infectia reusita catre serverul sau. Mesajul include modelul de telefon, daca are sau nu activata blocarea ecranului si o lista a tuturor aplicatiilor instalate pe care malware-ul le poate afecta. In total, Ghimob poate spiona 153 de aplicatii mobile, in principal de la banci, companii fintech, criptomonede si schimburi.

Cand vine vorba despre functii, Ghimob este un spion in buzunarul victimei. Dezvoltatorii pot accesa de la distanta dispozitivul infectat, si pot frauda folosind smartphone-ul proprietarului, pentru a evita identificarea dispozitivelor lor si a eluda masurile de securitate implementate de institutiile financiare si de sistemele lor antifrauda. Chiar daca utilizatorul foloseste un sistem de blocare a ecranului, Ghimob este capabil sa il inregistreze si sa il redea pentru a debloca dispozitivul. Cand dezvoltatorii sunt gata sa efectueze o tranzactie frauduloasa, pot introduce o suprapunere pe ecran, o imagine neagra, sau pot deschide unele site-uri web pe intregul ecran. Apoi, in timp ce utilizatorul se uita la acel ecran, dezvoltatorii efectueaza tranzactia frauduloasa in fundal, utilizand aplicatia financiara deja deschisa sau conectata, care ruleaza pe dispozitiv.

Statisticile Kaspersky arata ca, in afara de Brazilia, obiectivele de extindere ale Ghimob au in vizor Paraguay, Peru, Portugalia, Germania, Angola si Mozambic.

„Dorinta atacatorilor cibernetici din America Latina de a crea un troian bancar mobil cu acoperire mondiala are o istorie lunga. Am vazut deja Basbanke, apoi BRata, dar ambele erau concentrate puternic pe piata braziliana. Ghimob este primul troian brazilian de servicii de telefonie mobila pregatit pentru expansiune internationala. Credem ca aceasta noua campanie ar putea fi legata de Guildma, responsabil pentru un binecunoscut troian bancar brazilian, din mai multe motive, dar in principal pentru ca au aceeasi infrastructura. Recomandam institutiilor financiare sa urmareasca aceste amenintari indeaproape, imbunatatind in acelasi timp procesele de autentificare, sporind tehnologia antifrauda si colectand informatii despre amenintari si incercand sa inteleaga si sa atenueze toate riscurile acestei noi familii RAT mobile”, comenteaza Fabio Assolini, expert in securitate la Kaspersky.

Produsele Kaspersky detecteaza noua familie ca Trojan-Banker.AndroidOS.Ghimob.

Pentru a va proteja de amenintarile RAT, dar si de cele asupra serviciilor bancare, Kaspersky recomanda urmatoarele masuri de securitate:

• Oferiti echipei dumneavoastra SOC acces la cele mai recente informatii privind amenintarile cibernetice (TI). Kaspersky Threat Intelligence Portal permite accesul la TI-ul companiei, furnizand date despre atacuri cibernetice si informatii colectate de Kaspersky timp de mai bine de 20 de ani.
• Educati-va clientii cu privire la posibilele trucuri pe care atacatorii cibernetici le pot folosi. Trimiteti-le in mod regulat informatii despre cum sa identifice frauda si cum sa se comporte in aceasta situatie.
• Implementati o solutie antifrauda, cum ar fi Kaspersky Fraud Prevention. Aceasta poate proteja canalul mobil de incidente neplacute, atunci cand atacatorii se folosesc de accesul la distanta pentru a efectua o tranzactie frauduloasa. Pentru protectie, solutia poate detecta atat malware-ul RAT de pe dispozitiv, dar poate identifica si semne care evidentiaza controlul de la distanta prin intermediul software-ului legal.

Pentru mai multe detalii despre noile descoperiri, cititi raportul complet pe Securelist.

Despre Kaspersky

Kaspersky este o companie globala de securitate cibernetica fondata in 1997. Informatiile vaste despre amenintarile cibernetice si experienta in securitate IT detinute de Kaspersky se materializeaza in mod constant in solutii de securitate si servicii inovatoare pentru a proteja companiile, infrastructura critica, autoritatile guvernamentale si utilizatorii individuali din toata lumea. Portofoliul vast al companiei include protectie endpoint de top si mai multe solutii specializate de securitate si servicii, pentru a combate amenintarile digitale tot mai complexe. Peste 400 de milioane de utilizatori individuali sunt protejati de tehnologiile Kaspersky, precum si 250.000 de companii client, pe care le ajutam sa protejeze ce e mai important pentru ele. Pentru mai multe informatii, vizitati www.kaspersky.com.