Dispositivos Android estão sujeitos a ataques realizados por um novo cavalo de Troia bancário. Apelidado de Ghimob, o malware pode espionar e colher dados de 153 Aplicativos Android em países como o Brasil, Paraguai, Peru, Portugal, Alemanha, Angola, e moçambique.
A pesquisa de segurança indica que o Ghimob foi desenvolvido pelos mesmos cibercriminosos que codificaram o malware Astaroth Windows. Vale ressaltar que a Google Play Store oficial não sofreu abusos como canal de distribuição. Para este efeito,, os hackers usaram aplicativos Android maliciosos em sites e servidores previamente implantados pela Astaroth.
Astaroth é um jogador conhecido na área de Trojans bancários. Uma de suas atualizações mais recentes foi observada em maio no início deste ano. Os pesquisadores do Cisco Talos detectaram que Astaroth foi equipado com técnicas avançadas de ofuscação e anti-análise. As campanhas de maio também exibiram um uso inovador das descrições de canais do YouTube usado para comunicações de comando e controle codificadas.
Cavalo de Troia Ghimob Banking: O que se sabe até agora
De acordo com a Kaspersky, "Ghimob é um espião de pleno direito no seu bolso." Assim que a infecção terminar, os atores da ameaça podem acessar o dispositivo afetado remotamente. A transação fraudulenta é feita no dispositivo comprometido para que a identificação da máquina seja contornada. Quaisquer medidas de segurança implementadas por instituições financeiras também são contornadas.
“Mesmo se o usuário tiver um padrão de bloqueio de tela no lugar, Ghimob é capaz de gravá-lo e depois reproduzi-lo para desbloquear o dispositivo,”Alertam os pesquisadores. A transação acontece inserindo uma tela preta como sobreposição ou abrindo um site em tela cheia. Enquanto o usuário se distrai olhando para a tela, o hacker realiza a transação em segundo plano, utilizando o aplicativo financeiro que a vítima já abriu ou fez login.
As campanhas maliciosas observadas tiraram proveito de aplicativos e nomes oficiais, como o Google Defender, documentos Google, WhatsApp Updater, Atualização Flash. Assim que os aplicativos maliciosos forem instalados, eles solicitariam acesso ao serviço de acessibilidade. Este é o estágio final do mecanismo de infecção.
Ameaça avançada com forte persistência
O Trojan Ghimob também usa servidores de comando e controle protegidos por Cloudflare e esconde seu C2 real com DGA (algoritmo de geração de domínio). Em poucas palavras, o malware utiliza vários truques, posando como um forte concorrente neste campo, Notas da Kaspersky. Ainda não há sinais de que seja usado como um malware-as-a-service. Uma coisa é certa, embora - este é um exemplo de um malware avançado e versátil com forte persistência.
A recomendação da Kaspersky é “que as instituições financeiras observem essas ameaças de perto, enquanto melhora seus processos de autenticação, impulsionando a tecnologia antifraude e dados intel de ameaças, e tentar entender e mitigar todos os riscos que essa nova família de RATs móveis representa.”
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: