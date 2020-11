Monitorując kampanię wymierzoną w urządzenia z systemem Windows, w której wykorzystywano szkodliwe oprogramowanie bankowe Guildma, badacze z firmy Kaspersky wykryli adresy URL rozprzestrzeniające nie tylko zainfekowane archiwum ZIP dla Windowsa, ale również szkodliwy moduł instalujący nowego trojana bankowego Ghimob dla Androida.

Mobilna bankowość jest wygodna, ale musimy się mieć na baczności

Infiltracja systemowych funkcji ułatwień dostępu umożliwia trojanowi przetrwanie w systemie, przechwytywanie danych, manipulowanie zawartością ekranu oraz przekazywanie sterującym nim cyberprzestępcom pełnej zdalnej kontroli. Według ekspertów twórcy tego trojana zdalnego dostępu koncentrują się głównie na użytkownikach w Brazylii, jednak posiadają również poważne plany globalnej ekspansji. Opisywana kampania nadal jest aktywna.

Guildma to seria szkodliwych programów, za którym stoi brazylijski cybergang Tetrade, znany ze skalowalnych szkodliwych działań zarówno w Ameryce Łacińskiej, jak i innych częściach świata, który aktywnie pracuje nad nowymi technikami, tworząc szkodliwe oprogramowanie i atakując nowe ofiary.

Jego nowe "dzieło" - mobilny trojan bankowy Ghimob dla Androida - nakłania ofiary do zainstalowania szkodliwego pliku poprzez wiadomość e-mail, z której wynika, że jej odbiorca ma jakieś długi. Aby poznać więcej szczegółów, należy kliknąć zawarty w e-mailu odsyłacz. Po zainstalowaniu szkodnik wysyła do swojego serwera wiadomość o tym, że urządzenie zostało zainfekowane, podając takie informacje jak model telefonu, czy urządzenie posiada blokadę ekranu, jak również listę wszystkich zainstalowanych aplikacji, które mogą stanowić cel ataku. Ghimob może łącznie szpiegować 153 aplikacje mobilne, głównie bankowe i finansowe oraz związane z kryptowalutami i giełdami.

Pod względem funkcjonalności Ghimob stanowi szpiega w kieszeni swojej ofiary. Jego twórcy mogą uzyskać zdalny dostęp do zainfekowanego urządzenia, dokonać oszustwa przy użyciu smartfona właściciela oraz obchodzić stosowane przez instytucje finansowe środki bezpieczeństwa, łącznie z opartymi na zachowaniu systemami ochrony przed oszustwami. Nawet jeśli użytkownik stosuje wzór odblokowujący ekran smartfonu, Ghimob potrafi go zarejestrować i odtworzyć w celu odblokowania urządzenia. Gdy twórcy Ghimoba są gotowi wykonać oszukańczą transakcję, mogą wyświetlić własną nakładkę ekranu lub otworzyć kilka stron internetowych w trybie pełnoekranowym. Gdy użytkownik patrzy na ten ekran, atakujący w tle przeprowadzają transakcję, wykorzystując aplikację finansową, która została wcześniej otwarta lub do której zalogowano się na urządzeniu.

Ze statystyk firmy Kaspersky wynika, że poza Brazylią cele trojana Ghimob znajdują się w Paragwaju, Peru, Portugalii, Niemczech, Angoli oraz Mozambiku.Cyberprzestępcy z Ameryki Łacińskiej od dawna próbują stworzyć mobilnego trojana bankowego o światowym zasięgu. Najpierw pojawił się Basbanke, następnie Brata, jednak oba były w dużym stopniu ukierunkowane na rynek brazylijski.

Ghimob to tak naprawdę pierwszy brazylijski mobilny trojan bankowy, który jest gotowy na ekspansję międzynarodową. Uważamy, że ta nowa kampania może być powiązana z ugrupowaniem cyberprzestępczym, które stoi za znanym brazylijskim trojanem bankowym Guildma. Przemawia za tym wiele czynników, głównie to, że oba szkodniki wykorzystują tę samą infrastrukturę. Zalecamy instytucjom finansowym, aby uważnie śledziły te zagrożenia, jednocześnie usprawniając swoje procesy uwierzytelniania i udoskonalając technologię ochrony przed oszustwami oraz dane analizy zagrożeń. Dobrze jest również poznać i łagodzić ryzyko związane z tą nową rodziną mobilnych szkodliwych programów - powiedział Fabio Assolini, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky. Produkty firmy Kaspersky wykrywają omawianą rodzinę szkodników pod nazwą Trojan-Banker.AndroidOS.Ghimob.