Cand au monitorizat o campanie Windows de la grupul Guildma, cercetatorii Kaspersky au gasit adrese URL care distribuiau nu numai un fisier .ZIP rau intentionat pentru Windows, ci si un fisier periculos care parea a fi un program de descarcare pentru instalarea Ghimob – un nou troian bancar. Dupa infiltrarea in modul de accesibilitate, Ghimob poate castiga persistenta si poate dezactiva optiunea de dezinstalare manuala, captura date, manipula continutul ecranului si poate oferi control complet, de la distanta, actorilor din spatele acestuia.
Potrivit expertilor, dezvoltatorii acestui troian mobil tipic, de acces la distanta (RAT) sunt foarte concentrati asupra utilizatorilor din Brazilia, dar au planuri mari de extindere pe tot globul. Campania este inca activa.
Guildma, un grup de atacatori cibernetici care face parte din seria Tétrade, cunoscut pentru activitatile sale daunatoare scalabile atat in America Latina, cat si in alte parti ale lumii, a lucrat activ la noi tehnici, dezvoltand programe malware si vizand victime noi.
Noua sa creatie – troianul bancar Ghimob – atrage victimele sa instaleze fisierul rau intentionat printr-un e-mail care sugereaza ca persoana care il primeste are un fel de datorie. E-mailul include, de asemenea, un link care sa fie accesat de victima pentru a putea afla mai multe informatii. Odata ce RAT-ul este instalat, malware-ul trimite un mesaj despre infectia reusita catre serverul sau. Mesajul include modelul de telefon, daca are sau nu activata blocarea ecranului si o lista a tuturor aplicatiilor instalate pe care malware-ul le poate afecta. In total, Ghimob poate spiona 153 de aplicatii mobile, in principal de la banci, companii fintech, criptomonede si schimburi.
Cand vine vorba despre functii, Ghimob este un spion in buzunarul victimei. Dezvoltatorii pot accesa de la distanta dispozitivul infectat, si pot frauda folosind smartphone-ul proprietarului, pentru a evita identificarea dispozitivelor lor si a eluda masurile de securitate implementate de institutiile financiare si de sistemele lor antifrauda. Chiar daca utilizatorul foloseste un sistem de blocare a ecranului, Ghimob este capabil sa il inregistreze si sa il redea pentru a debloca dispozitivul. Cand dezvoltatorii sunt gata sa efectueze o tranzactie frauduloasa, pot introduce o suprapunere pe ecran, o imagine neagra, sau pot deschide unele site-uri web pe intregul ecran. Apoi, in timp ce utilizatorul se uita la acel ecran, dezvoltatorii efectueaza tranzactia frauduloasa in fundal, utilizand aplicatia financiara deja deschisa sau conectata, care ruleaza pe dispozitiv.
Statisticile Kaspersky arata ca, in afara de Brazilia, obiectivele de extindere ale Ghimob au in vizor Paraguay, Peru, Portugalia, Germania, Angola si Mozambic.
„Dorinta atacatorilor cibernetici din America Latina de a crea un troian bancar mobil cu acoperire mondiala are o istorie lunga. Am vazut deja Basbanke, apoi BRata, dar ambele erau concentrate puternic pe piata braziliana. Ghimob este primul troian brazilian de servicii de telefonie mobila pregatit pentru expansiune internationala. Credem ca aceasta noua campanie ar putea fi legata de Guildma, responsabil pentru un binecunoscut troian bancar brazilian, din mai multe motive, dar in principal pentru ca au aceeasi infrastructura. Recomandam institutiilor financiare sa urmareasca aceste amenintari indeaproape, imbunatatind in acelasi timp procesele de autentificare, sporind tehnologia antifrauda si colectand informatii despre amenintari si incercand sa inteleaga si sa atenueze toate riscurile acestei noi familii RAT mobile”, comenteaza Fabio Assolini, expert in securitate la Kaspersky.
Banking 4.0 – „how was the experience for you”
„So many people are coming here to Bucharest, people that I see and interact on linkedin and now I get the change to meet them in person. It was like being to the Football World Cup but this was the World Cup on linkedin in payments and open banking.”
Many more interesting quotes in the video below: