Ghimob Malware

Ghimob Malware er en ny bank-trojansk trussel frigivet af de samme trusselaktører, der var ansvarlige for Astaroth (Guildma) Windows-malware. Det ser ud til, at med Ghimob følger hackerne den bredere tendens blandt Brazillianske cyberkriminelle for at udvide deres aktiviteter fra et lokalt til et verdensomspændende niveau. Som sådan er Ghimob udstyret med funktionalitet til at indsamle legitimationsoplysninger, i alt 152 forskellige mobilapplikationer, der tilhører banker, fintech-virksomheder, børser og for nylig kryptokurver fra en bred vifte af lande. Mens størstedelen af de målrettede applikationer, 112 for at være præcis, stadig er fra Brasilien, kan det påvirke 13 cryptocurrency-applikationer og ni betalingssystemer fra forskellige lande. Derudover kan den oprette phishing-login-sider til fem tyske bankapplikationer, tre Portugal-applikationer, to fra Peru og Paraguay og en applikation fra hver Angola og Mozambique.

Mens hovedmålet med Ghimob Malware er at stjæle legitimationsoplysninger og bankoplysninger, har det kapaciteterne i en fuldt udbygget spywaretrussel. Det indsamler og exfiltrerer forskellige systemdata fra enheden, inklusive telefonmodellen, hvis der er en skærmlås aktiv, og en liste over alle apper, der er installeret på den. Ved at misbruge de privilegier i tilgængelighedstilstand, den beder om, er Ghimob i stand til at opnå vedholdenhed på enheden og forhindre ethvert forsøg på manuel afinstallation.

Hackerne har næsten fuldstændig kontrol over de kompromitterede enheder. De kan udføre transaktioner gennem de installerede bankapplikationer, mens de skjuler deres handling på forskellige måder, såsom at vise et sort skærmoverlay eller åbne et websted. Truslen kan også registrere skærmens låsemønster for enheden og afspille det igen på kommando.

Infektionsvektoren er gennem phishing-e-mails designet til at fremstå som om de sendes af en finansiel institution eller en kreditor. Brugere opfordres til at klikke på links, der fører dem til websteder oprettet af hackere. Der distribueres malware under dække af andre legitime applikationer - Google Defender, Google Docs, WhatsApp Updater osv.

Ghimob Malware har adskillige anti-analyse modforanstaltninger som en del af sit arsenal. Før truslen påbegyndes i fuld skala, kontrollerer truslen den inficerede mobile enhed for almindelige emulatorer, eventuelle debuggere, der potentielt er knyttet til dens processormanifestfil, og et muligt debuggable flag. Hvis nogen af kontrollerne giver et positivt resultat, afslutter malware udførelsen.