Android-Geräte sind anfällig für Angriffe eines neuen Banking-Trojaners. Ghimob genannt, Die Malware kann Daten ausspionieren und sammeln 153 Android-Anwendungen in Ländern wie Brasilien, Paraguay, Peru, Portugal, Deutschland, Angola, und Mosambik.
Sicherheitsuntersuchungen zeigen, dass Ghimob von denselben Cyberkriminellen entwickelt wurde, die die Astaroth Windows-Malware codiert haben. Es ist bemerkenswert, dass der offizielle Google Play Store nicht als Vertriebskanal missbraucht wurde. Hierzu, Die Hacker verwendeten bösartige Android-Apps auf Websites und Servern, die zuvor von Astaroth bereitgestellt wurden.
Astaroth ist ein bekannter Spieler auf dem Gebiet der Bankentrojaner. Eines der neuesten Updates wurde Anfang Mai dieses Jahres beobachtet. Forscher von Cisco Talos stellten fest, dass Astaroth mit fortschrittlichen Verschleierungs- und Antianalysetechniken ausgestattet wurde. Die Mai-Kampagnen wurden ebenfalls angezeigt eine innovative Verwendung von YouTube-Kanalbeschreibungen wird für codierte Befehls- und Steuerkommunikation verwendet.
Ghimob Banking Trojaner: Was ist bis jetzt bekannt
Laut Kaspersky, "Ghimob ist ein vollwertiger Spion in deiner Tasche." Sobald die Infektion beendet ist, Bedrohungsakteure können remote auf das betroffene Gerät zugreifen. Die betrügerische Transaktion wird auf dem gefährdeten Gerät ausgeführt, sodass die Maschinenidentifikation umgangen wird. Von Finanzinstituten umgesetzte Sicherheitsmaßnahmen werden ebenfalls umgangen.
„Auch wenn der Benutzer über ein Bildschirmsperrmuster verfügt, Ghimob kann es aufzeichnen und später wiedergeben, um das Gerät zu entsperren,Warnen die Forscher. Die Transaktion erfolgt durch Einfügen eines schwarzen Bildschirms als Überlagerung oder Öffnen einer Website im Vollbildmodus. Während der Benutzer durch einen Blick auf den Bildschirm abgelenkt wird, Der Hacker führt die Transaktion im Hintergrund aus, indem er die Finanz-App verwendet, die das Opfer bereits geöffnet oder angemeldet hat.
Die beobachteten böswilligen Kampagnen nutzten offizielle Apps und Namen, wie Google Defender, Google Text & Tabellen, WhatsApp Updater, Flash Update. Sobald die schädlichen Apps installiert sind, Sie würden den Zugriff auf den Eingabehilfedienst anfordern. Dies ist das letzte Stadium des Infektionsmechanismus.
Fortgeschrittene Bedrohung mit starker Ausdauer
Der Ghimob-Trojaner verwendet auch Befehls- und Kontrollserver, die durch Cloudflare geschützt sind, und verbirgt seinen echten C2 mit DGA (Domain-Erzeugungsalgorithmus). In einer Nussschale, Die Malware verwendet mehrere Tricks, sich als starker Konkurrent auf diesem Gebiet auszugeben, Kaspersky stellt fest. Es gibt immer noch keine Anzeichen dafür, ob es als Malware-as-a-Service verwendet wird. Eine Sache ist sicher, Dies ist jedoch ein Beispiel für eine fortschrittliche und vielseitige Malware mit starker Persistenz.
Die Empfehlung von Kaspersky lautet “dass Finanzinstitute diese Bedrohungen genau beobachten, während sie ihre Authentifizierungsprozesse verbessern, Verbesserung der Betrugsbekämpfungstechnologie und der Bedrohungsdaten, und versuchen, alle Risiken zu verstehen und zu mindern, die diese neue mobile RAT-Familie mit sich bringt.”
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: