Android-apparaten zijn vatbaar voor aanvallen van een nieuwe banktrojan. Ghimob genoemd, de malware kan gegevens van 153 Android-applicaties in landen als Brazilië, Paraguay, Peru, Portugal, Duitsland, Angola, en Mozambique.
Beveiligingsonderzoek geeft aan dat Ghimob is ontwikkeld door dezelfde cybercriminelen die de Astaroth Windows-malware hebben gecodeerd. Het is opmerkelijk dat de officiële Google Play Store niet is misbruikt als distributiekanaal. Hiertoe, de hackers gebruikten kwaadaardige Android-apps op sites en servers die eerder door Astaroth werden ingezet.
Astaroth is een bekende speler op het gebied van banktrojans. Een van de laatste updates werd eerder dit jaar in mei waargenomen. Cisco Talos-onderzoekers ontdekten dat Astaroth was uitgerust met geavanceerde versluierings- en anti-analysetechnieken. Ook de mei-campagnes werden getoond een innovatief gebruik van YouTube-kanaalbeschrijvingen gebruikt voor gecodeerde command-and-control-communicatie.
Ghimob Banking Trojan: Wat is er bekend So Far
Volgens Kaspersky, "Ghimob is een volwaardige spion in je zak." Zodra de infectie is afgelopen, bedreigingsactoren hebben op afstand toegang tot het getroffen apparaat. De frauduleuze transactie wordt uitgevoerd op het gecompromitteerde apparaat, zodat de machine-identificatie wordt omzeild. Ook eventuele beveiligingsmaatregelen van financiële instellingen worden omzeild.
“Zelfs als de gebruiker een schermvergrendelingspatroon heeft, Ghimob kan het opnemen en later opnieuw afspelen om het apparaat te ontgrendelen,”Waarschuwen de onderzoekers. De transactie gebeurt door een zwart scherm als overlay in te voegen of door een website op volledig scherm te openen. Terwijl de gebruiker wordt afgeleid door naar het scherm te kijken, de hacker voert de transactie op de achtergrond uit door gebruik te maken van de financiële app die het slachtoffer al heeft geopend of waarop het slachtoffer is ingelogd.
De waargenomen kwaadaardige campagnes maakten gebruik van officiële apps en namen, zoals Google Defender, Google Docs, WhatsApp Updater, Flash-update. Zodra de kwaadaardige apps zijn geïnstalleerd, ze zouden toegang vragen tot de toegankelijkheidsdienst. Dit is de laatste fase van het infectiemechanisme.
Geavanceerde bedreiging met sterke persistentie
De Ghimob-trojan gebruikt ook command-and-control-servers die worden beschermd door Cloudflare en verbergt zijn echte C2 met DGA (domein generatie algoritme). In een notendop, de malware gebruikt verschillende trucs, zich voordoen als een sterke concurrent op dit gebied, Kaspersky merkt op. Er is nog steeds geen teken of het wordt gebruikt als malware-as-a-service. Een ding is zeker, echter - dit is een voorbeeld van een geavanceerde en veelzijdige malware met een sterke persistentie.
Kaspersky's aanbeveling is “dat financiële instellingen deze bedreigingen nauwlettend in de gaten houden, terwijl ze hun authenticatieprocessen verbeteren, het stimuleren van antifraudetechnologie en gegevens over bedreigingsinformatie, en proberen alle risico's van deze nieuwe mobiele RAT-familie te begrijpen en te verminderen.”
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: