Noul virus care afectează telefoanele. Ce au descoperit cercetătorii

În această perioadă, când toată lumea este concentrată pe evoluția pandemiei, uităm să fim atenți și în altă parte. Conform unor informații ale specialiștilor Kaspersky, un nou malware bancar vizează utilizatorii de telefonie mobilă din întreaga lume.

Cercetătorii Kaspersky au găsit un fișier periculos

Cercetătorii Kaspersky au monitorizat o campanie Windows de la grupul Guildma. În urma acestei monitorizări au găsit adrese URL care distribuiau un fișier .ZIP rău intenționat pentru Windows. În același timp au reușit să descopere și un fișier periculos care părea a fi un program de descărcare pentru instalarea Ghimob, un nou troian bancar.

”După infiltrarea în modul de accesibilitate, Ghimob poate câștiga persistență și poate dezactiva opțiunea de dezinstalare manuală, captura date, manipula conținutul ecranului și poate oferi control complet, de la distanță, actorilor din spatele acestuia.”, spun cercetătorii Kaspersky.

Potrivit experților, dezvoltatorii acestui troian mobil tipic, de acces la distanță (RAT) sunt foarte concentrați asupra utilizatorilor din Brazilia, dar au planuri mari de extindere pe tot globul. Campania este încă activă.

Guildma, un grup de atacatori cibernetici

Grupul face parte din seria Tétrade, cunoscut pentru activitățile sale dăunătoare scalabile în ​​America Latină. Activitățile lor sunt cunoscute și în alte părți ale lumii. Cercetătorii Kaspersky spun că acest grup a lucrat activ la noi tehnici, dezvoltând programe malware și vizând victime noi.

Noua sa creație, Ghimob, atrage victimele să instaleze fișierul rău intenționat printr-un e-mail care sugerează că persoana care îl primește are un fel de datorie. E-mailul include, de asemenea, un link care să fie accesat de victimă pentru a putea afla mai multe informații.

Odată ce RAT-ul este instalat, malware-ul trimite un mesaj despre infecția reușită către serverul său. Mesajul include modelul de telefon. Dacă are sau nu activată blocarea ecranului și o listă a tuturor aplicațiilor instalate pe care malware-ul le poate afecta. În total, Ghimob poate spiona 153 de aplicații mobile. Cercetătorii Kaspersky spun că în principal spionează aplicațiile de la bănci, companii fintech, criptomonede și schimburi.

Instuțiile bancare vizate de noul malware

Când vine vorba despre funcții, Ghimob este un spion în buzunarul victimei. Dezvoltatorii pot accesa de la distanță dispozitivul infectat. Pot frauda folosind smartphone-ul proprietarului. Astfel se  evită identificarea dispozitivelor lor. În același timp pot eluda măsurile de securitate implementate de instituțiile financiare și de sistemele lor antifraudă.

Chiar dacă utilizatorul folosește un sistem de blocare a ecranului, Ghimob este capabil să îl înregistreze și să îl redea pentru a debloca dispozitivul. Când dezvoltatorii sunt gata să efectueze o tranzacție frauduloasă, pot introduce o suprapunere pe ecran, o imagine neagră, sau pot deschide unele site-uri web pe întregul ecran.

Apoi, în timp ce utilizatorul se uită la acel ecran, dezvoltatorii efectuează tranzacția frauduloasă în fundal, utilizând aplicația financiară deja deschisă sau conectată, care rulează pe dispozitiv.

Statisticile Kaspersky îngrijorătoare

Statisticile Kaspersky arată că, în afară de Brazilia, obiectivele de extindere ale Ghimob au în vizor Paraguay, Peru, Portugalia, Germania, Angola și Mozambic.

”Dorința atacatorilor cibernetici din America Latină de a crea un troian bancar mobil cu acoperire mondială are o istorie lungă. Am văzut deja Basbanke, apoi BRata, dar ambele erau concentrate puternic pe piața braziliană. Ghimob este primul troian brazilian de servicii de telefonie mobilă pregătit pentru expansiune internațională. Credem că această nouă campanie ar putea fi legată de Guildma, responsabil pentru un binecunoscut troian bancar brazilian, din mai multe motive, dar în principal pentru că au aceeași infrastructură.

Kaspersky: Dezvoltatorii pot accesa de la distanță dispozitivul infectat, și pot frauda folosind smartphone-ul proprietarului.

Recomandăm instituțiilor financiare să urmărească aceste amenințări îndeaproape, îmbunătățind în același timp procesele de autentificare, sporind tehnologia antifraudă și colectând informații despre amenințări și încercând să înțeleagă și să atenueze toate riscurile acestei noi familii RAT mobile”, comentează Fabio Assolini, expert în securitate la Kaspersky.

Produsele Kaspersky detectează noua familie ca Trojan-Banker.AndroidOS.Ghimob

Kaspersky recomandă următoarele măsuri de securitate:

• Oferiți echipei dumneavoastră SOC acces la cele mai recente informații privind amenințările cibernetice (TI). Kaspersky Threat Intelligence Portal permite accesul la TI-ul companiei, furnizând date despre atacuri cibernetice și informații colectate de Kaspersky timp de mai bine de 20 de ani.
• Educați-vă clienții cu privire la posibilele trucuri pe care atacatorii cibernetici le pot folosi. Trimiteți-le în mod regulat informații despre cum să identifice frauda și cum să se comporte în această situație.
• Implementați o soluție antifraudă, cum ar fi Kaspersky Fraud Prevention. Aceasta poate proteja canalul mobil de incidente neplăcute, atunci când atacatorii se folosesc de accesul la distanță pentru a efectua o tranzacție frauduloasă. Pentru protecție, soluția poate detecta atât malware-ul RAT de pe dispozitiv. Poate identifica și semne care evidențiază controlul de la distanță prin intermediul software-ului legal.

Pentru mai multe detalii despre noile descoperiri, citiți raportul complet pe Securelist.

Despre Kaspersky

Kaspersky este o companie globală de securitate cibernetică fondată în 1997. Informațiile vaste despre amenințările cibernetice și experiența în securitate IT deținute de Kaspersky se materializează în mod constant în soluții de securitate și servicii inovatoare pentru a proteja companiile, infrastructura critică, autoritățile guvernamentale și utilizatorii individuali din toată lumea. Portofoliul vast al companiei include protecție endpoint de top și mai multe soluții specializate de securitate și servicii, pentru a combate amenințările digitale tot mai complexe. Peste 400 de milioane de utilizatori individuali sunt protejați de tehnologiile Kaspersky, precum și 250.000 de companii client, pe care le ajutăm să protejeze ce e mai important pentru ele. Pentru mai multe informații, vizitați www.kaspersky.com.