Ghimob Malware
De Ghimob Malware is een nieuwe Trojan-bedreiging voor het bankwezen die wordt vrijgegeven door dezelfde bedreigingsactoren die verantwoordelijk waren voor de Astaroth (Guildma) Windows-malware. Het lijkt erop dat de hackers met Ghimob de bredere trend volgen onder Braziliaanse cybercriminelen om hun activiteiten uit te breiden van lokaal naar wereldwijd niveau. Als zodanig is Ghimob uitgerust met functionaliteit om inloggegevens te verzamelen, in totaal 152 verschillende mobiele applicaties van banken, fintech-bedrijven, beurzen en de laatste tijd cryptocurrencies uit een breed scala aan landen. Hoewel het merendeel van de beoogde applicaties, 112 om precies te zijn, nog steeds uit Brazilië komt, kan het 13 cryptocurrency-applicaties en negen betalingssystemen uit verschillende landen beïnvloeden. Bovendien kan het phishing-inlogpagina's maken voor vijf Duitse banktoepassingen, drie Portugese toepassingen, twee uit Peru en Paraguay en elk één toepassing uit Angola en Mozambique.
Hoewel het belangrijkste doel van Ghimob Malware het stelen van inloggegevens en bankgegevens is, heeft het de mogelijkheden van een volwaardige spywarebedreiging. Het verzamelt en exfiltreert verschillende systeemgegevens van het apparaat, inclusief het telefoonmodel, als er een schermvergrendeling actief is, en een lijst van elke app die erop is geïnstalleerd. Door misbruik te maken van de toegangsmodusprivileges waar het om vraagt, kan Ghimob persistentie op het apparaat bereiken en pogingen tot handmatige verwijdering voorkomen.
De hackers hebben bijna volledige controle over de gecompromitteerde apparaten. Ze kunnen transacties uitvoeren via de geïnstalleerde bankapplicaties terwijl ze hun actie op verschillende manieren verbergen, zoals het weergeven van een zwart scherm of het openen van een website. De dreiging kan ook het schermvergrendelingspatroon voor het apparaat opnemen en op commando opnieuw afspelen.
De infectievector is via phishing-e-mails die zo zijn ontworpen dat het lijkt alsof ze zijn verzonden door een financiële instelling of een schuldeiser. Gebruikers worden aangemoedigd om op links te klikken die hen naar websites van hackers leiden. Daar wordt de malware verspreid onder het mom van andere legitieme applicaties - Google Defender, Google Docs, WhatsApp Updater, enz.
De Ghimob Malware heeft verschillende tegenmaatregelen tegen analyse als onderdeel van zijn arsenaal. Voordat de dreiging zijn volledige operaties start, controleert de bedreiging het geïnfecteerde mobiele apparaat op algemene emulators, eventuele foutopsporingsprogramma's die mogelijk zijn gekoppeld aan het manifestbestand van de processor en een mogelijke vlag voor foutopsporing. Als een van de controles een positief resultaat oplevert, beëindigt de malware de uitvoering ervan.
