Android-enheder er tilbøjelige til angreb udført af en ny banktrojan. Døbt Ghimob, malware kan spionere og høste data fra 153 Android-applikationer i lande som Brasilien, Paraguay, Peru, Portugal, Tyskland, Angola, og Mozambique.
Sikkerhedsundersøgelser viser, at Ghimob er udviklet af de samme cyberkriminelle, der kodede Astaroth Windows-malware. Det er bemærkelsesværdigt, at den officielle Google Play Butik ikke er blevet misbrugt som distributionskanal. Til dette formål, hackerne brugte ondsindede Android-apps på websteder og servere, der tidligere blev implementeret af Astaroth.
Astaroth er en velkendt spiller inden for bank-trojanske heste. En af dens seneste opdateringer blev observeret i maj tidligere på året. Cisco Talos-forskere opdagede, at Astaroth blev udstyret med avancerede tiltræknings- og anti-analyseteknikker. Maj-kampagnerne blev også vist en innovativ brug af YouTube-kanalbeskrivelser bruges til kodet kommando-og-kontrol kommunikation.
Ghimob Bank Trojan: Hvad der er kendt So Far
Ifølge Kaspersky, "Ghimob er en fuldgyldig spion i lommen." Så snart infektionen er færdig, trusselsaktører kan få fjernadgang til den berørte enhed. Den bedrageriske transaktion udføres på den kompromitterede enhed, så maskinidentifikation omgåes. Eventuelle sikkerhedsforanstaltninger implementeret af finansielle institutioner omgås også.
”Selvom brugeren har et skærmlåsemønster på plads, Ghimob er i stand til at optage det og senere afspille det igen for at låse enheden op,”Advarer forskerne. Transaktionen sker ved at indsætte en sort skærm som et overlay eller åbne et websted i fuld skærm. Mens brugeren distraheres ved at se på skærmen, hackeren udfører transaktionen i baggrunden ved at bruge den økonomiske app, offeret allerede har åbnet eller logget ind på.
De observerede ondsindede kampagner udnyttede officielle apps og navne, såsom Google Defender, Google Docs, WhatsApp Updater, Flash-opdatering. Når de ondsindede apps er installeret, de ville anmode om adgang til tilgængelighedstjenesten. Dette er den sidste fase af infektionsmekanismen.
Avanceret trussel med stærk vedholdenhed
Ghimob Trojan bruger også kommandostyringsservere beskyttet af Cloudflare og skjuler sin ægte C2 med DGA (domænenavn generation algoritme). I en nøddeskal, malware bruger flere tricks, udgør som en stærk konkurrent inden for dette felt, Kaspersky-noter. Der er stadig intet tegn på, om det bruges som en malware-as-a-service. En ting er sikkert, dog - dette er et eksempel på en avanceret og alsidig malware med stærk vedholdenhed.
Kasperskys anbefaling er “at finansielle institutioner følger disse trusler nøje, og samtidig forbedre deres godkendelsesprocesser, øge teknologi til bekæmpelse af svig og data om trusler, og forsøger at forstå og afbøde alle de risici, som denne nye mobile RAT-familie udgør.”
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: