Gigabud Mobile Malware

Gigabud er en truende Android Remote Access Trojan (RAT) som har blitt brukt av trusselaktører for å samle inn banklegitimasjon og annen sensitiv informasjon. Gigabud Mobile Malware maskerer seg som legitime bank-, shopping- og andre applikasjoner for å få tilgang til offerets enhet. Skadevaren distribueres gjennom villedende nettsteder og kan ta opp offerets skjerm ved å misbruke tilgjengelighetstjenesten. Når den er installert, kan Gigabud brukes til å spionere på ofre, samle inn dataene deres og til og med kontrollere enhetene deres eksternt. Detaljer om trusselen ble utgitt i en rapport utgitt av cybersikkerhetsforskerne.

Gigabud utgir seg for å være offentlige byråer

Gigabud RAT malware har vært rettet mot enkeltpersoner i Thailand siden juli 2022, og spredningen har økt hver måned til andre land, som Peru og Filippinene. De truende applikasjonene skjuler seg ved å bruke ikonene til offentlige etater fra disse landene for å lure ofre til å gi bort sensitiv informasjon. De korrupte applikasjonene kan også utgi seg som shoppingapplikasjoner, banklånsøknader osv. Noen av de bekreftede legitime applikasjonene som har blitt etterlignet av Gigabud Android RAT inkluderer en peruansk bank, et thailandsk flyselskap, Thailands spesialundersøkelser og byrået av Internal Revenue Filippinene. Skadevaren ble opprinnelig spredt via et kompromittert phishing-nettsted som utga seg for å være en offisiell side for det legitime flyselskapet Thai Lion Air.

Truende egenskapene til Gigabud Mobile Malware

Gigabud RAT er en truende mobil malware som prøver å lure brukere til å oppgi påloggingsinformasjon som brukernavn, passord og mobilnumre. Den gjør dette ved å vise falske påloggingsskjermer som etterligner brukergrensesnittet til legitime applikasjoner. Disse dataene sendes deretter til en Command and Control (C&C) server. I tillegg viser Gigabud RAT falske registreringsskjemaer for å samle ID-kortinformasjon, kredittkortdetaljer og annen forespurt informasjon fra ofre.

Trusselen ber også om tilgjengelighetstillatelser, som lar den ta opp enhetens skjerm og vise innhold over andre applikasjoner. Med disse tillatelsene gitt, kan Gigabud RAT deretter koble til sin C&C-server og motta kommandoer som gjør det mulig for den å samle målrettede bankdetaljer, sende tekstmeldinger fra offerets enhet, åpne målrettede applikasjoner og mer. Til slutt kan Gigabud RAT vise falske dialogbokser over legitime applikasjoner for å samle inn sensitiv informasjon.

Eksperter på nettsikkerhet advarer om at trusselaktøren som er ansvarlig for å lage Gigabud, hele tiden jobber med nye versjoner av denne skadelige trusselen som er designet for å utvide utvalget av målrettede land. Det er sannsynlig at flere varianter av denne skadevare med flere mål og funksjoner vil bli avdekket i fremtiden.