Ghimob Malware

Il Ghimob Malware è una nuova minaccia trojan bancaria rilasciata dagli stessi attori della minaccia responsabili del malware Windows Astaroth (Guildma). Sembra che con Ghimob, gli hacker stiano seguendo la tendenza più ampia tra i criminali informatici brasiliani di espandere le loro operazioni da un livello locale a uno mondiale. In quanto tale, Ghimob è dotato di funzionalità per raccogliere credenziali, per un totale di 152 diverse applicazioni mobili appartenenti a banche, società fintech, scambi e ultimamente criptovalute da una vasta gamma di paesi. Sebbene la maggior parte delle applicazioni mirate, 112 per la precisione, provenga ancora dal Brasile, può interessare 13 applicazioni di criptovaluta e nove sistemi di pagamento di diversi paesi. Inoltre, può creare pagine di accesso di phishing per cinque applicazioni bancarie tedesche, tre applicazioni portoghesi, due dal Perù e dal Paraguay e un'applicazione ciascuna da Angola e Mozambico.

Sebbene l'obiettivo principale di Ghimob Malware sia quello di rubare credenziali e dettagli bancari, ha le capacità di una vera e propria minaccia spyware. Raccoglie ed espelle vari dati di sistema dal dispositivo, incluso il modello del telefono, se è attivo un blocco schermo e un elenco di tutte le app installate su di esso. Abusando dei privilegi della modalità di accessibilità richiesti, Ghimob è in grado di ottenere la persistenza sul dispositivo e impedire qualsiasi tentativo di disinstallazione manuale.

Gli hacker hanno il controllo quasi completo sui dispositivi compromessi. Possono eseguire transazioni tramite le applicazioni bancarie installate nascondendo la loro azione con vari mezzi, come la visualizzazione di uno schermo nero in sovrimpressione o l'apertura di un sito web. La minaccia può anche registrare la sequenza di blocco dello schermo per il dispositivo e riprodurla a comando.

Il vettore di infezione avviene tramite e-mail di phishing progettate per sembrare inviate da un istituto finanziario o da un creditore. Gli utenti sono incoraggiati a fare clic sui collegamenti che li portano a siti Web creati da hacker. Lì il malware viene distribuito con il pretesto di altre applicazioni legittime: Google Defender, Google Docs, WhatsApp Updater, ecc.

Il Ghimob Malware ha diverse contromisure anti-analisi come parte del suo arsenale. Prima di iniziare le sue operazioni su vasta scala, la minaccia controlla il dispositivo mobile infetto per emulatori comuni, eventuali debugger potenzialmente collegati al file manifest del processore e un possibile flag di debug. Se uno qualsiasi dei controlli restituisce un esito positivo, il malware termina la sua esecuzione.