Monitorując kampanię wymierzoną w urządzenia z systemem Windows, w której wykorzystywano szkodliwe oprogramowanie bankowe Guildma, badacze z firmy Kaspersky wykryli adresy URL rozprzestrzeniające nie tylko zainfekowane archiwum ZIP dla Windowsa, ale również szkodliwy moduł instalujący nowego trojana bankowego Ghimob dla Androida. Infiltracja systemowych funkcji ułatwień dostępu umożliwia trojanowi przetrwanie w systemie, przechwytywanie danych, manipulowanie zawartością ekranu
oraz przekazywanie sterującym nim cyberprzestępcom pełnej zdalnej kontroli. Według ekspertów twórcy tego trojana zdalnego dostępu koncentrują się głównie na użytkownikach w Brazylii, jednak posiadają również poważne plany globalnej ekspansji. Opisywana kampania nadal jest aktywna.
Guildma to seria szkodliwych programów, za którym stoi brazylijski cybergang Tetrade, znany ze skalowalnych szkodliwych działań zarówno w Ameryce Łacińskiej, jak i innych częściach świata, który aktywnie pracuje nad nowymi technikami, tworząc szkodliwe oprogramowanie i atakując nowe ofiary.
Jego nowe „dzieło” – mobilny trojan bankowy Ghimob dla Androida – nakłania ofiary do zainstalowania szkodliwego pliku poprzez wiadomość e-mail, z której wynika, że jej odbiorca ma jakieś długi. Aby poznać więcej szczegółów, należy kliknąć zawarty w e-mailu odsyłacz. Po zainstalowaniu szkodnik wysyła do swojego serwera wiadomość o tym, że urządzenie zostało zainfekowane, podając takie informacje jak model telefonu, czy urządzenie posiada blokadę ekranu, jak również listę wszystkich zainstalowanych aplikacji, które mogą stanowić cel ataku. Ghimob może łącznie szpiegować 153 aplikacje mobilne, głównie bankowe i finansowe oraz związane z kryptowalutami i giełdami.
Pod względem funkcjonalności Ghimob stanowi szpiega w kieszeni swojej ofiary. Jego twórcy mogą uzyskać zdalny dostęp do zainfekowanego urządzenia, dokonać oszustwa przy użyciu smartfona właściciela oraz obchodzić stosowane przez instytucje finansowe środki bezpieczeństwa, łącznie z opartymi na zachowaniu systemami ochrony przed oszustwami. Nawet jeśli użytkownik stosuje wzór odblokowujący ekran smartfonu, Ghimob potrafi go zarejestrować i odtworzyć w celu odblokowania urządzenia. Gdy twórcy Ghimoba są gotowi wykonać oszukańczą transakcję, mogą wyświetlić własną nakładkę ekranu lub otworzyć kilka stron internetowych w trybie pełnoekranowym. Gdy użytkownik patrzy na ten ekran, atakujący w tle przeprowadzają transakcję, wykorzystując aplikację finansową, która została wcześniej otwarta lub do której zalogowano się na urządzeniu.
Ze statystyk firmy Kaspersky wynika, że poza Brazylią cele trojana Ghimob znajdują się w Paragwaju, Peru, Portugalii, Niemczech, Angoli oraz Mozambiku.
– Cyberprzestępcy z Ameryki Łacińskiej od dawna próbują stworzyć mobilnego trojana bankowego o światowym zasięgu. Najpierw pojawił się Basbanke, następnie Brata, jednak oba były w dużym stopniu ukierunkowane na rynek brazylijski. Ghimob to tak naprawdę pierwszy brazylijski mobilny trojan bankowy, który jest gotowy na ekspansję międzynarodową. Uważamy, że ta nowa kampania może być powiązana z ugrupowaniem cyberprzestępczym, które stoi za znanym brazylijskim trojanem bankowym Guildma. Przemawia za tym wiele czynników, głównie to, że oba szkodniki wykorzystują tę samą infrastrukturę. Zalecamy instytucjom finansowym, aby uważnie śledziły te zagrożenia, jednocześnie usprawniając swoje procesy uwierzytelniania i udoskonalając technologię ochrony przed oszustwami oraz dane analizy zagrożeń. Dobrze jest również poznać i łagodzić ryzyko związane z tą nową rodziną mobilnych szkodliwych programów – powiedział Fabio Assolini, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.
Produkty firmy Kaspersky wykrywają omawianą rodzinę szkodników pod nazwą Trojan-Banker.AndroidOS.Ghimob.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące środki bezpieczeństwa pozwalające zabezpieczyć się przed trojanami zdalnego dostępu oraz zagrożeniami bankowymi:
- Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń. Kaspersky Threat Intelligence Portal zapewnia dostęp do danych analitycznych firmy Kaspersky, dostarczając szczegółowe dane dotyczące cyberataków, zgromadzone przez firmę na przestrzeni ponad 20 lat.
- Edukuj swoich klientów na temat sztuczek, jakie mogą stosować oszuści. Regularnie przesyłaj im informacje o tym, jak rozpoznać oszustwo i zachować się w takiej sytuacji.
- Stosuj rozwiązanie zabezpieczające przed oszustwami, takie jak np. Kaspersky Fraud Prevention. Chroni ono kanał mobilny przed próbami wykorzystania przez atakujących zdalnej kontroli w celu dokonania oszukańczych transakcji. W celu zapewnienia ochrony rozwiązanie zarówno wykrywa na urządzeniu szkodliwe oprogramowanie zdalnego dostępu, jak i rozpoznaje wykorzystywanie zdalnej kontroli za pośrednictwem legalnego oprogramowania.