Gigabud Mobile Malware

Gigabud is een bedreigende Android Remote Access Trojan (RAT) die door bedreigingsactoren is gebruikt om bankreferenties en andere gevoelige informatie te verzamelen. De Gigabud Mobile Malware doet zich voor als legitieme bank-, winkel- en andere toepassingen om toegang te krijgen tot het apparaat van het slachtoffer. De malware wordt verspreid via misleidende websites en kan het scherm van het slachtoffer opnemen door de toegankelijkheidsservice te misbruiken. Eenmaal geïnstalleerd, kan Gigabud worden gebruikt om slachtoffers te bespioneren, hun gegevens te verzamelen en zelfs hun apparaten op afstand te bedienen. Details over de dreiging zijn vrijgegeven in een rapport van de cybersecurity-onderzoekers.

Gigabud doet zich voor als overheidsinstanties

De Gigabud RAT-malware richt zich sinds juli 2022 op individuen in Thailand en de verspreiding ervan neemt elke maand toe naar andere landen, zoals Peru en de Filippijnen. De bedreigende applicaties vermommen zichzelf door de iconen van overheidsinstanties uit deze landen te gebruiken om slachtoffers te misleiden zodat ze gevoelige informatie prijsgeven. De corrupte applicaties kunnen zich ook voordoen als winkelapplicaties, bankleningen, enz. Enkele van de bevestigde legitieme applicaties die zijn geïmiteerd door de Gigabud Android RAT zijn onder meer een Peruaanse bank, een Thaise luchtvaartmaatschappij, het Department of Special Investigation of Thailand en het Bureau van de Filipijnen van de Belastingdienst. De malware werd in eerste instantie verspreid via een gecompromitteerde phishing-website die zich voordeed als een officiële pagina van de legitieme luchtvaartmaatschappij – Thai Lion Air.

Bedreigende mogelijkheden van de Gigabud Mobile Malware

De Gigabud RAT is een bedreigende mobiele malware die gebruikers probeert te misleiden om inloggegevens te verstrekken, zoals gebruikersnamen, wachtwoorden en mobiele nummers. Het doet dit door valse inlogschermen weer te geven die de gebruikersinterface van legitieme applicaties nabootsen. Deze gegevens worden vervolgens naar een Command and Control (C&C)-server gestuurd. Bovendien geeft de Gigabud RAT valse registratieformulieren weer om ID-kaartgegevens, creditcardgegevens en andere gevraagde informatie van slachtoffers te verzamelen.

De dreiging vraagt ook om toegankelijkheidsrechten, waardoor het scherm van het apparaat kan worden opgenomen en inhoud over andere applicaties kan worden weergegeven. Als deze machtigingen zijn verleend, kan de Gigabud RAT vervolgens verbinding maken met zijn C&C-server en opdrachten ontvangen waarmee hij gerichte bankgegevens kan verzamelen, sms-berichten kan verzenden vanaf het apparaat van het slachtoffer, gerichte applicaties kan openen en meer. Ten slotte kan de Gigabud RAT valse dialoogvensters weergeven over legitieme applicaties om gevoelige informatie te verzamelen.

Cyberbeveiligingsexperts waarschuwen dat de dreigingsactor die verantwoordelijk is voor het creëren van Gigabud voortdurend werkt aan nieuwe versies van deze schadelijke dreiging die zijn ontworpen om het bereik van gerichte landen uit te breiden. Het is waarschijnlijk dat er in de toekomst meer varianten van deze malware met extra doelen en functies zullen worden ontdekt.