Cercetătorii au găsit adrese URL care distribuiau nu numai un fişier .ZIP rău intenţionat pentru Windows, ci şi un fişier periculos care părea a fi un program de descărcare pentru instalarea Ghimob, un nou troian bancar, anunţă producătorul de soluţii pentru securitate cibernetică Kaspersky.
”Când au monitorizat o campanie Windows de la grupul Guildma, cercetătorii Kaspersky au găsit adrese URL care distribuiau nu numai un fişier .ZIP rău intenţionat pentru Windows, ci şi un fişier periculos care părea a fi un program de descărcare pentru instalarea Ghimob - un nou troian bancar. După infiltrarea în modul de accesabilitate, Ghimob poate câştiga persistenţă şi poate dezactiva opţiunea de dezinstalare manuală, captura date, manipula conţinutul ecranului şi poate oferi control complet, de la distanţă, actorilor din spatele acestuia. Potrivit experţilor, dezvoltatorii acestui troian mobil tipic, de acces la distanţă (RAT) sunt foarte concentraţi asupra utilizatorilor din Brazilia, dar au planuri mari de extindere pe tot globul”, anunţă Kaspersky.
Campania este încă activă.
Guildma, un grup de atacatori cibernetici care face parte din seria Tetrade, cunoscut pentru activităţile sale dăunătoare scalabile atât în America Latină, cât şi în alte părţi ale lumii, a lucrat activ la noi tehnici, dezvoltând programe malware şi vizând victime noi.
”Noua sa creaţie - troianul bancar Ghimob - atrage victimele să instaleze fişierul rău intenţionat printr-un e-mail care sugerează că persoana care îl primeşte are un fel de datorie. E-mailul include, de asemenea, un link care să fie accesat de victimă pentru a putea afla mai multe informaţii. Odată ce RAT-ul este instalat, malware-ul trimite un mesaj despre infecţia reuşită către serverul său. Mesajul include modelul de telefon, dacă are sau nu activată blocarea ecranului şi o listă a tuturor aplicaţiilor instalate pe care malware-ul le poate afecta”, precizează compania.
În total, Ghimob poate spiona 153 de aplicaţii mobile, în principal de la bănci, companii fintech, criptomonede şi schimburi.
Când vine vorba despre funcţii, Ghimob este un spion în buzunarul victimei. Dezvoltatorii pot accesa de la distanţă dispozitivul infectat, şi pot frauda folosind smartphone-ul proprietarului, pentru a evita identificarea dispozitivelor lor şi a eluda măsurile de securitate implementate de instituţiile financiare şi de sistemele lor antifraudă.
Chiar dacă utilizatorul foloseşte un sistem de blocare a ecranului, Ghimob este capabil să îl înregistreze şi să îl redea pentru a debloca dispozitivul. Când dezvoltatorii sunt gata să efectueze o tranzacţie frauduloasă, pot introduce o suprapunere pe ecran, o imagine neagră, sau pot deschide unele site-uri web pe întregul ecran. Apoi, în timp ce utilizatorul se uită la acel ecran, dezvoltatorii efectuează tranzacţia frauduloasă în fundal, utilizând aplicaţia financiară deja deschisă sau conectată, care rulează pe dispozitiv.
Statisticile Kaspersky arată că, în afară de Brazilia, obiectivele de extindere ale Ghimob au în vizor Paraguay, Peru, Portugalia, Germania, Angola şi Mozambic.
„Dorinţa atacatorilor cibernetici din America Latină de a crea un troian bancar mobil cu acoperire mondială are o istorie lungă. Am văzut deja Basbanke, apoi BRata, dar ambele erau concentrate puternic pe piaţa braziliană. Ghimob este primul troian brazilian de servicii de telefonie mobilă pregătit pentru expansiune internaţională. Credem că această nouă campanie ar putea fi legată de Guildma, responsabil pentru un binecunoscut troian bancar brazilian, din mai multe motive, dar în principal pentru că au aceeaşi infrastructură. Recomandăm instituţiilor financiare să urmărească aceste ameninţări îndeaproape, îmbunătăţind în acelaşi timp procesele de autentificare, sporind tehnologia antifraudă şi colectând informaţii despre ameninţări şi încercând să înţeleagă şi să atenueze toate riscurile acestei noi familii RAT mobile”, comentează Fabio Assolini, expert în securitate la Kaspersky.
Produsele Kaspersky detectează noua familie ca Trojan-Banker.AndroidOS.Ghimob.
Pentru a vă proteja de ameninţările RAT, dar şi de cele asupra serviciilor bancare, Kaspersky recomandă ca măsuri de securitate să oferiţi echipei SOC acces la cele mai recente informaţii privind ameninţările cibernetice (TI).
”Educaţi-vă clienţii cu privire la posibilele trucuri pe care atacatorii cibernetici le pot folosi. Trimiteţi-le în mod regulat informaţii despre cum să identifice frauda şi cum să se comporte în această situaţie”, spun reprezentanţii companiei.
Kaspersky este o companie globală de securitate cibernetică fondată în 1997. Portofoliul companiei include protecţie endpoint de top şi mai multe soluţii specializate de securitate şi servicii, pentru a combate ameninţările digitale tot mai complexe. Peste 400 de milioane de utilizatori individuali sunt protejaţi de tehnologiile Kaspersky, precum şi 250.000 de companii client.
Articolul de mai sus este destinat exclusiv informării dumneavoastră personale. Dacă reprezentaţi o instituţie media sau o companie şi doriţi un acord pentru republicarea articolelor noastre, va rugăm să ne trimiteţi un mail pe adresa abonamente@news.ro.
