Noul malware bancar vizează utilizatorii de dispozitive mobile

În timp ce monitorizau o campanie Windows de către grupul Guildma, cercetătorii Kaspersky au găsit adrese URL care nu numai că distribuiau un fișier .ZIP rău intenționat pentru Windows, ci și un fișier periculos care părea a fi un program de descărcare pentru instalarea Ghimob – un cal nou Servicii bancare troiene.

După infiltrarea în modul de accesibilitate, Ghimob poate câștiga persistență și poate dezactiva opțiunea de dezinstalare manuală, captare de date, manipulare a conținutului ecranului și furnizare de control la distanță completă a actorilor din spate. Potrivit experților, dezvoltatorii acestui troian de acces la distanță mobil (RAT) sunt foarte concentrați asupra utilizatorilor din Brazilia, dar au planuri mari de dezvoltare în întreaga lume. Campania este încă activă.

Guildma, un grup de atacatori cibernetici care face parte din seria Tetrade, cunoscuți pentru activitățile lor dăunătoare scalabile din America Latină și din alte părți ale lumii, lucrează activ la noi tehnici, dezvoltă programe malware și vizează noi victime. .

Cea mai nouă creație a sa – troianul bancar Ghimob – păcălește victimele să instaleze fișierul rău intenționat printr-un e-mail sugerând că persoana care îl primește are un fel de datorie. E-mailul include, de asemenea, un link pe care victima îl poate accesa pentru a afla mai multe. După instalarea RAT, malware-ul trimite un mesaj despre succesul infecției către serverul său. Mesajul include modelul telefonului, dacă blocarea ecranului este activată sau nu, și o listă cu orice aplicații instalate pe care malware-ul le poate afecta. În total, Ghimob poate spiona 153 de aplicații mobile, majoritatea de la bănci, companii fintech, criptomonede și schimburi.

READ  Smartphone-ul Google Pixel 5 va activa această funcție atunci când este încărcat

Când vine vorba de funcții, Ghimob este un spion în buzunarul victimei. Dezvoltatorii pot accesa de la distanță dispozitivul infectat și pot înșela folosind smartphone-ul proprietarului, pentru a evita identificarea dispozitivelor lor și ocolirea măsurilor de securitate implementate de instituțiile financiare și de sistemele lor antifraudă. . Chiar dacă utilizatorul folosește un sistem de blocare a ecranului, Ghimob îl poate înregistra și reda pentru a debloca dispozitivul. Când dezvoltatorii sunt gata să efectueze o tranzacție frauduloasă, aceștia pot obține o suprapunere pe ecran, o imagine neagră sau pot deschide unele site-uri web pe ecran complet. Apoi, în timp ce utilizatorul se uită la acest ecran, dezvoltatorii efectuează tranzacția frauduloasă în fundal, utilizând aplicația financiară deja deschisă sau conectată rulând pe dispozitiv.

Statisticile Kaspersky arată că, pe lângă Brazilia, expansiunea lui Ghimob vizează Paraguay, Peru, Portugalia, Germania, Angola și Mozambic.

„Dorința atacatorilor cibernetici din America Latină de a crea un troian bancar mobil cu acoperire globală are o istorie lungă. Am văzut deja Basbanke, apoi BRata, dar ambele au fost puternic concentrate pe piața braziliană. Ghimob este primul troian brazilian de telefonie mobilă pregătit pentru expansiune internațională. Credem că această nouă campanie ar putea fi legată de Guildma, responsabilă pentru un binecunoscut troian bancar brazilian, din mai multe motive, dar în principal pentru că au aceeași infrastructură. Recomandăm instituțiilor financiare să monitorizeze aceste amenințări îndeaproape, îmbunătățind în același timp procesele de autentificare, îmbunătățind tehnologia antifraudă și colectând informații despre amenințări și încercând să înțeleagă și să atenueze orice riscuri de această nouă familie RAT mobilă ”, a declarat Fabio Assolini, expert în securitate la Kaspersky.

READ  Google Chrome: OFICIAL, va încărca paginile web mult mai rapid

Produsele Kaspersky detectează noua familie sub numele de Trojan-Banker.AndroidOS.Ghimob.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *