I dispositivi Android sono soggetti ad attacchi effettuati da un nuovo Trojan bancario. Soprannominato Ghimob, il malware può spiare e raccogliere dati da 153 Applicazioni Android in paesi come il Brasile, Paraguay, Perù, Portogallo, Germania, Angola, e Mozambico.
La ricerca sulla sicurezza indica che Ghimob è stato sviluppato dagli stessi cybercriminali che hanno codificato il malware Astaroth per Windows. È interessante notare che il Google Play Store ufficiale non è stato abusato come canale di distribuzione. A questo scopo, gli hacker hanno utilizzato app Android dannose su siti e server precedentemente distribuiti da Astaroth.
Astaroth è un noto giocatore nel campo dei trojan bancari. Uno dei suoi ultimi aggiornamenti è stato osservato a maggio all'inizio di quest'anno. I ricercatori di Cisco Talos hanno rilevato che Astaroth era dotato di tecniche avanzate di offuscamento e anti-analisi. Sono state visualizzate anche le campagne di maggio un uso innovativo delle descrizioni dei canali YouTube utilizzato per comunicazioni di comando e controllo codificate.
Ghimob Banking Trojan: Quello che si sa finora
Secondo Kaspersky, "Ghimob è una spia a tutti gli effetti in tasca." Non appena l'infezione finisce, gli autori delle minacce possono accedere in remoto al dispositivo interessato. La transazione fraudolenta viene eseguita sul dispositivo compromesso in modo che l'identificazione della macchina venga aggirata. Vengono eluse anche eventuali misure di sicurezza attuate dalle istituzioni finanziarie.
"Anche se l'utente dispone di una sequenza di blocco dello schermo, Ghimob è in grado di registrarlo e successivamente riprodurlo per sbloccare il dispositivo,"Avvertono i ricercatori. La transazione avviene inserendo una schermata nera come overlay o aprendo un sito web a schermo intero. Mentre l'utente è distratto guardando lo schermo, l'hacker esegue la transazione in background utilizzando l'app finanziaria che la vittima ha già aperto o a cui ha effettuato l'accesso.
Le campagne dannose osservate hanno sfruttato app e nomi ufficiali, come Google Defender, Google Documenti, WhatsApp Updater, Aggiornamento Flash. Una volta installate le app dannose, richiederebbero l'accesso al servizio di accessibilità. Questa è la fase finale del meccanismo di infezione.
Minaccia avanzata con forte persistenza
Il Ghimob Trojan utilizza anche server di comando e controllo protetti da Cloudflare e nasconde il suo vero C2 con DGA (algoritmo di generazione di dominio). In poche parole, il malware utilizza diversi trucchi, proponendosi come un forte concorrente in questo campo, Note di Kaspersky. Non c'è ancora alcun segno se sia usato come malware-as-a-service. Una cosa è certa, tuttavia, questo è un esempio di malware avanzato e versatile con una forte persistenza.
La raccomandazione di Kaspersky è “che le istituzioni finanziarie osservino attentamente queste minacce, migliorando i loro processi di autenticazione, potenziamento della tecnologia antifrode e dei dati sulle minacce, e cercando di comprendere e mitigare tutti i rischi che questa nuova famiglia di RAT mobili pone.”
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: