Gigabud Mobile Malware

Gigabud è un minaccioso Android Remote Access Trojan (RAT) che è stato utilizzato dagli attori delle minacce per raccogliere credenziali bancarie e altre informazioni sensibili. Il malware Gigabud Mobile si spaccia per legittime applicazioni bancarie, commerciali e di altro tipo per ottenere l'accesso al dispositivo della vittima. Il malware viene distribuito attraverso siti Web ingannevoli e può registrare lo schermo della vittima abusando del servizio di accessibilità. Una volta installato, Gigabud può essere utilizzato per spiare le vittime, raccogliere i loro dati e persino controllare i loro dispositivi da remoto. I dettagli sulla minaccia sono stati rilasciati in un rapporto pubblicato dai ricercatori sulla sicurezza informatica.

Gigabud impersona agenzie governative

Il malware Gigabud RAT ha preso di mira le persone in Thailandia dal luglio 2022 e la sua diffusione è aumentata ogni mese in altri paesi, come il Perù e le Filippine. Le applicazioni minacciose si mascherano utilizzando le icone delle agenzie governative di questi paesi per indurre le vittime a rivelare informazioni sensibili. Le applicazioni corrotte possono anche mascherarsi da applicazioni per acquisti, richieste di prestiti bancari, ecc. Alcune delle applicazioni legittime confermate che sono state imitate dal Gigabud Android RAT includono una banca peruviana, una compagnia aerea thailandese, il Dipartimento di investigazione speciale della Thailandia e l'Ufficio di presidenza dell'Internal Revenue Filippine. Il malware è stato inizialmente diffuso tramite un sito Web di phishing compromesso che fingeva di essere una pagina ufficiale della compagnia aerea legittima, la Thai Lion Air.

Capacità minacciose del malware Gigabud Mobile

Gigabud RAT è un malware mobile minaccioso che tenta di indurre gli utenti a fornire informazioni di accesso come nomi utente, password e numeri di cellulare. Lo fa visualizzando schermate di accesso false che imitano l'interfaccia utente di applicazioni legittime. Questi dati vengono quindi inviati a un server di comando e controllo (C&C). Inoltre, Gigabud RAT mostra moduli di registrazione falsi per raccogliere informazioni sulla carta d'identità, dettagli della carta di credito e altre informazioni richieste dalle vittime.

La minaccia richiede anche autorizzazioni di accessibilità, che le consentono di registrare lo schermo del dispositivo e visualizzare il contenuto su altre applicazioni. Con queste autorizzazioni concesse, Gigabud RAT può quindi connettersi al suo server C&C e ricevere comandi che gli consentono di raccogliere dettagli bancari mirati, inviare messaggi di testo dal dispositivo della vittima, aprire applicazioni mirate e altro ancora. Infine, Gigabud RAT può visualizzare finestre di dialogo false su applicazioni legittime per raccogliere informazioni sensibili.

Gli esperti di sicurezza informatica avvertono che l'autore della minaccia responsabile della creazione di Gigabud lavora costantemente a nuove versioni di questa minaccia dannosa, progettate per espandere la sua gamma di paesi presi di mira. È probabile che in futuro vengano scoperte più varianti di questo malware con obiettivi e funzionalità aggiuntivi.