Cum actioneaza Ghimob, un nou malware bancar care vizeaza utilizatorii de telefonie mobila din intreaga lume

Un nou malware le da batai de cap expertilor in securitate cibernetica. Cercetatorii au gasit adrese URL care distribuiau nu numai un fisier .ZIP rau intentionat pentru Windows, ci si un fisier periculos care parea a fi un program de descarcare pentru instalarea Ghimob, un nou troian bancar.

"Cand au monitorizat o campanie Windows de la grupul Guildma, cercetatorii Kaspersky au gasit adrese URL care distribuiau nu numai un fisier .ZIP rau intentionat pentru Windows, ci si un fisier periculos care parea a fi un program de descarcare pentru instalarea Ghimob - un nou troian bancar.

Dupa infiltrarea in modul de accesabilitate, Ghimob poate castiga persistenta si poate dezactiva optiunea de dezinstalare manuala, captura date, manipula continutul ecranului si poate oferi control complet, de la distanta, actorilor din spatele acestuia. Potrivit expertilor, dezvoltatorii acestui troian mobil tipic, de acces la distanta (RAT) sunt foarte concentrati asupra utilizatorilor din Brazilia, dar au planuri mari de extindere pe tot globul", anunta producatorul de solutii pentru securitate cibernetica Kaspersky.

Campania este inca activa.

Guildma, un grup de atacatori cibernetici care face parte din seria Tetrade, cunoscut pentru activitatile sale daunatoare scalabile atat in America Latina, cat si in alte parti ale lumii, a lucrat activ la noi tehnici, dezvoltand programe malware si vizand victime noi.

"Noua sa creatie - troianul bancar Ghimob - atrage victimele sa instaleze fisierul rau intentionat printr-un e-mail care sugereaza ca persoana care il primeste are un fel de datorie. E-mailul include, de asemenea, un link care sa fie accesat de victima pentru a putea afla mai multe informatii. Odata ce RAT-ul este instalat, malware-ul trimite un mesaj despre infectia reusita catre serverul sau. Mesajul include modelul de telefon, daca are sau nu activata blocarea ecranului si o lista a tuturor aplicatiilor instalate pe care malware-ul le poate afect"", precizeaza compania.

In total, Ghimob poate spiona 153 de aplicatii mobile, in principal de la banci, companii fintech, criptomonede si schimburi.

Cand vine vorba despre functii, Ghimob este un spion in buzunarul victimei. Dezvoltatorii pot accesa de la distanta dispozitivul infectat, si pot frauda folosind smartphone-ul proprietarului, pentru a evita identificarea dispozitivelor lor si a eluda masurile de securitate implementate de institutiile financiare si de sistemele lor antifrauda.

Chiar daca utilizatorul foloseste un sistem de blocare a ecranului, Ghimob este capabil sa il inregistreze si sa il redea pentru a debloca dispozitivul. Cand dezvoltatorii sunt gata sa efectueze o tranzactie frauduloasa, pot introduce o suprapunere pe ecran, o imagine neagra, sau pot deschide unele site-uri web pe intregul ecran. Apoi, in timp ce utilizatorul se uita la acel ecran, dezvoltatorii efectueaza tranzactia frauduloasa in fundal, utilizand aplicatia financiara deja deschisa sau conectata, care ruleaza pe dispozitiv.

Statisticile Kaspersky arata ca, in afara de Brazilia, obiectivele de extindere ale Ghimob au in vizor Paraguay, Peru, Portugalia, Germania, Angola si Mozambic.

"Dorinta atacatorilor cibernetici din America Latina de a crea un troian bancar mobil cu acoperire mondiala are o istorie lunga. Am vazut deja Basbanke, apoi BRata, dar ambele erau concentrate puternic pe piata braziliana. Ghimob este primul troian brazilian de servicii de telefonie mobila pregatit pentru expansiune internationala. Credem ca aceasta noua campanie ar putea fi legata de Guildma, responsabil pentru un binecunoscut troian bancar brazilian, din mai multe motive, dar in principal pentru ca au aceeasi infrastructura. Recomandam institutiilor financiare sa urmareasca aceste amenintari indeaproape, imbunatatind in acelasi timp procesele de autentificare, sporind tehnologia antifrauda si colectand informatii despre amenintari si incercand sa inteleaga si sa atenueze toate riscurile acestei noi familii RAT mobile", comenteaza Fabio Assolini, expert in securitate la Kaspersky.

Produsele Kaspersky detecteaza noua familie ca Trojan-Banker.AndroidOS.Ghimob.

Pentru a va proteja de amenintarile RAT, dar si de cele asupra serviciilor bancare, Kaspersky recomanda ca masuri de securitate sa oferiti echipei SOC acces la cele mai recente informatii privind amenintarile cibernetice (TI).

"Educati-va clientii cu privire la posibilele trucuri pe care atacatorii cibernetici le pot folosi. Trimiteti-le in mod regulat informatii despre cum sa identifice frauda si cum sa se comporte in aceasta situatie", spun reprezentantii companiei.

Kaspersky este o companie globala de securitate cibernetica fondata in 1997. Portofoliul companiei include protectie endpoint de top si mai multe solutii specializate de securitate si servicii, pentru a combate amenintarile digitale tot mai complexe. Peste 400 de milioane de utilizatori individuali sunt protejati de tehnologiile Kaspersky, precum si 250.000 de companii client.

Specialist CERT-RO: Scolile, vulnerabile in fata atacurilor cibernetice. "Zoom colecteaza informatii personale chiar daca nu iti creezi un cont"

Este oficial! Aplicațiile de tastatură din China permit interceptarea comunicațiilor

Potrivit unei analize publicate de MIT Technology Review, aplicațiile de tastatură utilizate de vorbitorii de limba chineză prezintă vulnerabilități care facilitează interceptarea textelor...

De ce prețurile produselor de pe Shein și Temu sunt atât de mici. Riscurile grave la care se expun cumpărătorii

Autoritatea Națională pentru Protecția Consumatorilor (ANPC) a anunțat, pe 23 aprilie, că urmează să investigheze platformele de comerț online chinezești Temu și Shein, făcând și o...