Les appareils Android sont sujets aux attaques menées par un nouveau cheval de Troie bancaire. Surnommé Ghimob, le malware peut espionner et récolter des données 153 Applications Android dans des pays comme le Brésil, Paraguay, Pérou, le Portugal, Allemagne, Angola, et Mozambique.
Les recherches sur la sécurité indiquent que Ghimob a été développé par les mêmes cybercriminels qui ont codé le malware Astaroth Windows. Il est à noter que le Google Play Store officiel n'a pas été utilisé abusivement en tant que canal de distribution. A cet effet,, les pirates ont utilisé des applications Android malveillantes sur des sites et des serveurs précédemment déployés par Astaroth.
Astaroth est un acteur reconnu dans le domaine des chevaux de Troie bancaires. L'une de ses dernières mises à jour a été observée en mai plus tôt cette année. Les chercheurs de Cisco Talos ont détecté qu'Astaroth s'était équipé de techniques avancées d'obfuscation et d'anti-analyse. Les campagnes de mai ont également affiché une utilisation innovante des descriptions de chaînes YouTube utilisé pour les communications codées de commande et de contrôle.
Cheval de Troie bancaire Ghimob: Ce qui est connu So Far
Selon Kaspersky, "Ghimob est un espion à part entière dans votre poche." Dès que l'infection se termine, les acteurs de la menace peuvent accéder à distance à l'appareil concerné. La transaction frauduleuse est effectuée sur l'appareil compromis afin que l'identification de la machine soit contournée. Toutes les mesures de sécurité mises en œuvre par les institutions financières sont également contournées.
"Même si l'utilisateur a mis en place un schéma de verrouillage d'écran, Ghimob est capable de l'enregistrer et de le rejouer plus tard pour déverrouiller l'appareil,”Avertissent les chercheurs. La transaction se fait en insérant un écran noir en superposition ou en ouvrant un site web en plein écran. Pendant que l'utilisateur est distrait en regardant l'écran, le pirate effectue la transaction en arrière-plan en utilisant l'application financière que la victime a déjà ouverte ou connectée.
Les campagnes malveillantes observées ont profité des applications et des noms officiels, comme Google Defender, Google Docs, Outil de mise à jour WhatsApp, Mise à jour Flash. Une fois les applications malveillantes installées, ils demanderaient l'accès au service d'accessibilité. C'est la dernière étape du mécanisme d'infection.
Menace avancée avec une forte persistance
Le cheval de Troie Ghimob utilise également des serveurs de commande et de contrôle protégés par Cloudflare et cache son véritable C2 avec DGA (algorithme de génération domaine). En un mot, le malware utilise plusieurs astuces, se faisant passer pour un concurrent sérieux dans ce domaine, Notes de Kaspersky. Il n'y a toujours aucun signe s'il est utilisé comme un malware-as-a-service. Une chose est sûre, cependant - ceci est un exemple de malware avancé et polyvalent avec une forte persistance.
La recommandation de Kaspersky est “que les institutions financières surveillent ces menaces de près, tout en améliorant leurs processus d'authentification, renforcer la technologie anti-fraude et les données sur les menaces, et essayer de comprendre et d'atténuer tous les risques que cette nouvelle famille de RAT mobile pose.”