Androidデバイスは、新しいバンキング型トロイの木馬による攻撃を受けやすい. 吹き替えギモブ, マルウェアはからデータをスパイして収集することができます 153 ブラジルなどの国のAndroidアプリケーション, パラグアイ, ペルー, ポルトガル, ドイツ, アンゴラ, とモザンビーク.
セキュリティ調査によると、Ghimobは、AstarothWindowsマルウェアをコード化したのと同じサイバー犯罪者によって開発されたものです。. 公式のGooglePlayストアが流通チャネルとして悪用されていないことは注目に値します. この目的のために, ハッカーは、以前にAstarothによって展開されたサイトやサーバーで悪意のあるAndroidアプリを使用しました.
Astarothは、バンキング型トロイの木馬の分野でよく知られているプレーヤーです。. その最新の更新の1つは、今年の5月に観察されました。. Cisco Talosの研究者は、Astarothが高度な難読化および分析防止技術を備えていることを検出しました. 5月のキャンペーンも表示されました YouTubeチャンネルの説明の革新的な使用 エンコードされたコマンドアンドコントロール通信に使用.
Ghimob Banking Trojan: これまでに知られていること
カスペルスキーによると, 「ギモブはあなたのポケットの中の本格的なスパイです。」感染が終わるとすぐに, 攻撃者は影響を受けるデバイスにリモートでアクセスできます. 不正なトランザクションは、マシンの識別がバイパスされるように、侵害されたデバイスで実行されます. 金融機関が実施するセキュリティ対策も回避されます.
「ユーザーが画面ロックパターンを使用している場合でも, Ghimobはそれを記録し、後で再生してデバイスのロックを解除することができます,」研究者は警告します. トランザクションは、オーバーレイとして黒い画面を挿入するか、全画面でWebサイトを開くことによって行われます。. ユーザーが画面を見て気が散っている間, ハッカーは、被害者がすでに開いているかログインしている金融アプリを利用して、バックグラウンドでトランザクションを実行します.
観察された悪意のあるキャンペーンは、公式のアプリと名前を利用していました, GoogleDefenderなど, Googleドキュメント, WhatsAppアップデータ, フラッシュアップデート. 悪意のあるアプリがインストールされたら, 彼らはアクセシビリティサービスへのアクセスを要求するでしょう. これが感染メカニズムの最終段階です.
強力な持続性を備えた高度な脅威
Ghimobトロイの木馬は、Cloudflareによって保護されたコマンドアンドコントロールサーバーも使用し、DGAで実際のC2を隠します (ドメイン生成アルゴリズム). 手短に, マルウェアはいくつかのトリックを利用します, この分野で強力な競争相手を装う, カスペルスキーノート. それがサービスとしてのマルウェアとして使用されているかどうかはまだわかりません. 一つ確かなことは, ただし、これは強力な永続性を備えた高度で用途の広いマルウェアの例です。.
カスペルスキーの推奨事項は “金融機関がこれらの脅威を注意深く監視していること, 認証プロセスを改善しながら, 不正防止テクノロジーと脅威インテリジェンスデータの強化, そして、この新しいモバイルRATファミリーがもたらすすべてのリスクを理解して軽減しようとしています。”