Malware Ghimob

O Malware Ghimob é uma nova ameaça de Trojan bancário, lançada pelos mesmos agentes de ameaça responsáveis pelo malware Astaroth (Guildma) do Windows. Parece que, com o Ghimob, os hackers estão seguindo a tendência mais ampla entre os cibercriminosos brasileiros de expandir suas operações de um nível local para um nível mundial. Como tal, o Ghimob está equipado com funcionalidade para coletar credenciais, um total de 152 aplicativos móveis diferentes pertencentes a bancos, empresas fintech, bolsas e, ultimamente, criptomoedas de uma ampla gama de países. Embora a maioria dos aplicativos-alvo, 112 para ser mais preciso, ainda sejam do Brasil, ele pode afetar 13 aplicativos de criptomoeda e nove sistemas de pagamento de diferentes países. Além disso, ele pode criar páginas de login de phishing para cinco aplicativos bancários alemães, três aplicativos de Portugal, dois do Peru e do Paraguai e um aplicativo de Angola e Moçambique cada.

Embora o objetivo principal do Ghimob Malware seja roubar credenciais e dados bancários, ele tem os recursos de uma ameaça de spyware totalmente desenvolvida. Ele coleta e exfila vários dados do sistema do dispositivo, incluindo o modelo do telefone, se houver um bloqueio de tela ativo e uma lista de todos os aplicativos instalados nele. Ao abusar dos privilégios do Modo de acessibilidade que ele pede, o Ghimob é capaz de obter persistência no dispositivo e evitar qualquer tentativa de desinstalação manual.

Os hackers têm controle quase total sobre os dispositivos comprometidos. Eles podem executar transações por meio dos aplicativos bancários instalados e, ao mesmo tempo, ocultar sua ação por vários meios, tais como exibir uma tela preta sobreposta ou abrir um site. A ameaça também pode registrar o padrão de bloqueio de tela do dispositivo e reproduzi-lo sob comando.

O vetor de infecção é através de e-mails de phishing projetados para parecer que foram enviados por uma instituição financeira ou um credor. Os usuários são incentivados a clicar em links que os levam a sites criados por hackers. Lá, o malware está sendo distribuído sob o disfarce de outros aplicativos legítimos - Google Defender, Google Docs, WhatsApp Updater, etc.

O Malware Ghimob tem várias medidas anti-análise como parte do seu arsenal. Antes de iniciar as suas operações em grande escala, a ameaça digitaliza o dispositivo móvel infectado em busca de emuladores comuns, quaisquer depuradores potencialmente vinculados ao arquivo de manifesto do processador e um possível sinalizador depurável. Se alguma das verificações retornar um resultado positivo, o malware encerra a sua execução.