Pericolul de pe telefon: această amenințare îți vizează contul bancar
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/2020/11/malware-guildma-800x428.jpg)
După monitorizarea unei campanii Windows de la grupul Guildma, cercetătorii Kaspersky au găsit adrese URL care distribuiau atât un fișier .ZIP rău intenționat pentru Windows, cât și un fișier periculos care părea a fi un program de descărcare pentru instalarea Ghimob – un nou troian bancar.
Potrivit experților, dezvoltatorii acestui troian mobil tipic, de acces la distanță (RAT) sunt foarte concentrați asupra utilizatorilor din Brazilia, dar au planuri mari de extindere pe tot globul. Campania este încă activă.
Ce poate face malware-ul?
În urma infiltrării în modul de accesibilitate, Ghimob poate câștiga persistență și poate dezactiva opțiunea de dezinstalare manuală, poate captura date, manipula conținutul ecranului și poate oferi control complet, de la distanță, actorilor din spatele acestuia.
Noua creație a grupului de atacatori cibernetici Guildma – troianul bancar Ghimob – atrage victimele să instaleze fișierul rău intenționat printr-un e-mail care sugerează că persoana care îl primește are un fel de datorie.
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/12/1561646252/e22853d418fc42a6c1d21fbcd1d9401d-t.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/12/1561646252/2f00861c95ec2108c9e4772b9e1ba39a-t.jpg)
E-mailul include și un link care să fie accesat de victimă pentru a putea afla mai multe informații.
Astfel, RAT-ul este instalat, iar malware-ul trimite un mesaj despre infecția reușită către serverul său.
Mesajul include modelul de telefon, informații despre blocarea ecranului și o listă a tuturor aplicațiilor instalate pe care malware-ul le poate afecta.
În total, Ghimob poate spiona 153 de aplicații mobile, în principal de la bănci, companii fintech, criptomonede și schimburi.
Dezvoltatorii Ghimob pot accesa de la distanță dispozitivul infectat, și pot frauda folosind smartphone-ul proprietarului, pentru a evita identificarea dispozitivelor lor și a eluda măsurile de securitate implementate de instituțiile financiare și de sistemele lor antifraudă.
Chiar dacă utilizatorul folosește un sistem de blocare a ecranului, Ghimob este capabil să îl înregistreze și să îl redea pentru a debloca dispozitivul.
Când dezvoltatorii sunt gata să efectueze o tranzacție frauduloasă, pot introduce o suprapunere pe ecran, o imagine neagră, sau pot deschide unele site-uri web pe întregul ecran.
Apoi, în timp ce utilizatorul se uită la acel ecran, dezvoltatorii efectuează tranzacția frauduloasă în fundal, utilizând aplicația financiară deja deschisă sau conectată, care rulează pe dispozitiv.
Ghimob este destinat utilizării extinse
Statisticile Kaspersky arată că, în afară de Brazilia, obiectivele de extindere ale Ghimob au în vizor Paraguay, Peru, Portugalia, Germania, Angola și Mozambic.
Ghimob este primul troian brazilian de servicii de telefonie mobilă pregătit pentru expansiune internațională, dezvoltat de atacatorii din America Latină.
“Credem că această nouă campanie ar putea fi legată de Guildma, responsabil pentru un binecunoscut troian bancar brazilian, din mai multe motive, dar în principal pentru că au aceeași infrastructură”, a declarat Fabio Assolini, expert în securitate la Kaspersky.
“Recomandăm instituțiilor financiare să urmărească aceste amenințări îndeaproape, îmbunătățind în același timp procesele de autentificare, sporind tehnologia antifraudă și colectând informații despre amenințări și încercând să înțeleagă și să atenueze toate riscurile acestei noi familii RAT mobile”, a adăugat acesta.
Cum te poți proteja?
Produsele Kaspersky detectează noua familie ca Trojan-Banker.AndroidOS.Ghimob.
Pentru a vă proteja de amenințările RAT, dar și de cele asupra serviciilor bancare, Kaspersky recomandă informarea privind amenințările cibernetice atât a clienților, cât și a corpului de lucru al companiei, implementarea unei soluții antifraudă.
Pentru aceasta din urmă, Kaspersky oferă serviciul Kaspersky Fraud Prevention. Acesta poate proteja canalul mobil de incidente neplăcute, atunci când atacatorii se folosesc de accesul la distanță pentru a efectua o tranzacție frauduloasă.
Pentru protecție, soluția poate detecta malware-ul RAT de pe dispozitiv, dar poate identifica și semne care evidențiază controlul de la distanță prin intermediul software-ului legal.
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/12/1646818613/0b2a54567a3a92c718a58dd4644b252c-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/09/1610191967/d9806b413fbfb592b9953802ca82375c-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/12/1667480684/5d8c4221a363fe252c3a4a1c2f9f790e-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/12/1646818613/4bc567d06b2558fc59631cc775fce9d2-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/10/1610191967/3b240d75c1674d78715e15ccdebc237f-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/12/1561646252/e22853d418fc42a6c1d21fbcd1d9401d-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/12/1561646252/2f00861c95ec2108c9e4772b9e1ba39a-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/12/1734348688/0e85fe5017aaeeaaa564157ed744a97c-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/10/1722424269/d1ac51b03f457701e8844549221cd4c4-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/10/1716823089/02b62acc28cd933c2b49b44ca24505b2-o.png)