Los dispositivos Android son propensos a los ataques de un nuevo troyano bancario. Apodado Ghimob, el malware puede espiar y recolectar datos de 153 Aplicaciones de Android en países como Brasil, Paraguay, Perú, Portugal, Alemania, Angola, y Mozambique.
La investigación de seguridad indica que Ghimob ha sido desarrollado por los mismos ciberdelincuentes que codificaron el malware Astaroth para Windows.. Cabe destacar que no se ha abusado de la Google Play Store oficial como canal de distribución.. Para este propósito, los piratas informáticos utilizaron aplicaciones maliciosas de Android en sitios y servidores previamente implementados por Astaroth.
Astaroth es un actor conocido en el campo de los troyanos bancarios.. Una de sus últimas actualizaciones se observó en mayo a principios de este año.. Los investigadores de Cisco Talos detectaron que Astaroth se equipó con técnicas avanzadas de ofuscación y antianálisis. Las campañas de mayo también se muestran un uso innovador de las descripciones de los canales de YouTube utilizado para comunicaciones codificadas de comando y control.
Troyano bancario Ghimob: Lo que se sabe hasta ahora
Según Kaspersky, "Ghimob es un espía en toda regla en tu bolsillo". Tan pronto como termine la infección, los actores de amenazas pueden acceder al dispositivo afectado de forma remota. La transacción fraudulenta se realiza en el dispositivo comprometido para que se omita la identificación de la máquina. También se elude cualquier medida de seguridad implementada por las instituciones financieras..
"Incluso si el usuario tiene un patrón de bloqueo de pantalla, Ghimob puede grabarlo y luego reproducirlo para desbloquear el dispositivo,"Advierten los investigadores. La transacción ocurre insertando una pantalla negra como superposición o abriendo un sitio web en pantalla completa. Mientras el usuario se distrae mirando la pantalla, el hacker lleva a cabo la transacción en segundo plano utilizando la aplicación financiera que la víctima ya ha abierto o en la que ha iniciado sesión.
Las campañas maliciosas observadas se aprovecharon de aplicaciones y nombres oficiales., como Google Defender, google Docs, Actualizador de WhatsApp, Actualización Flash. Una vez instaladas las aplicaciones maliciosas, solicitarían acceso al servicio de Accesibilidad. Esta es la etapa final del mecanismo de infección..
Amenaza avanzada con gran persistencia
El troyano Ghimob también utiliza servidores de comando y control protegidos por Cloudflare y oculta su C2 real con DGA (algoritmo de generación de dominio). En una palabra, el malware utiliza varios trucos, haciéndose pasar por un fuerte competidor en este campo, Notas de Kaspersky. Todavía no hay indicios de si se utiliza como malware como servicio. Una cosa es cierta, sin embargo, este es un ejemplo de un malware avanzado y versátil con una fuerte persistencia.
La recomendación de Kaspersky es “que las instituciones financieras observen de cerca estas amenazas, mientras mejora sus procesos de autenticación, impulsar la tecnología antifraude y los datos de inteligencia sobre amenazas, e intentar comprender y mitigar todos los riesgos que plantea esta nueva familia RAT móvil.”