Nieuwe Ghimob-banktrojan werkt als spion in zak van mobiele gebruiker

| Kaspersky | 3 min | 11 november 2020 10:01
Copyright: Kaspersky
Bij het monitoren van een Windows-campagne van Guildma banking-malware, vond Kaspersky een kwaadaardig bestand dat een downloader leek te zijn om Ghimob te installeren - een nieuwe banktrojan. Bij het infiltreren van de toegankelijkheidsmodus kan Ghimob handmatige verwijdering uitschakelen, gegevens vastleggen, scherminhoud manipuleren en volledige afstandsbediening bieden aan de actoren erachter. Volgens experts zijn de ontwikkelaars van deze zeer typische mobiele Remote Access Trojan (RAT) sterk gericht op gebruikers in Brazilië, maar hebben ze grote plannen om over de hele wereld uit te breiden. De campagne is nog steeds actief.

Guildma maakt deel uit van de beruchte Tétrade-serie, bekend om zijn kwaadaardige activiteiten in Latijns-Amerika, en andere delen van de wereld. Guildma heeft actief gewerkt aan nieuwe technieken, malware ontwikkeld en nieuwe slachtoffers gemaakt. Zijn nieuwste creatie: de Ghimob-banktrojan.

Zo werkt de Ghimob-banktrojan

Ghimob laat het kwaadaardige bestand installeren via een e-mail die suggereert dat de ontvanger een zogenaamde schuld heeft. De e-mail bevat tevens een link waarop het slachtoffer kan klikken, zodat het meer informatie kan vinden. Zodra de RAT is geïnstalleerd, stuurt de malware een bericht naar zijn server. Het bericht bevat het telefoonmodel, of het schermvergrendelingsbeveiliging heeft en een lijst met alle geïnstalleerde apps waarop de malware zich kan richten. In totaal kan Ghimob 153 mobiele apps bespioneren, voornamelijk van banken, fintech-bedrijven, cryptocurrencies en beurzen.

Spion op zak

Ghimob kan beschouwd worden als een spion in de zak van het slachtoffer. Ontwikkelaars hebben op afstand toegang tot het geïnfecteerde apparaat. Ze kunnen fraude voltooien met de smartphone van de eigenaar om machine-identificatie en beveiligingsmaatregelen van financiële instellingen en hun anti-fraudegedragssystemen te vermijden. Zelfs als de gebruiker een vergrendelschermpatroon gebruikt, kan Ghimob dit opnemen en opnieuw afspelen om het apparaat te ontgrendelen. Eenmaal klaar om de ??frauduleuze transactie uit te voeren, kunnen de ontwikkelaars een zwart of zwart scherm overlay invoegen of sommige websites op volledig scherm openen. Terwijl de gebruiker naar dat scherm kijkt, voeren de ontwikkelaars de frauduleuze transactie op de achtergrond uit, met behulp van de reeds geopende of ingelogde financiële app die op het apparaat wordt uitgevoerd.

Kaspersky-statistieken tonen aan dat Ghimob-doelen zich niet alleen in Brazilië, maar ook in Paraguay, Peru, Portugal, Duitsland, Angola en Mozambique bevinden.

“Eerder zagen we al trojans voor mobiel bankieren als Basbanke en BRata, maar beiden waren sterk gefocust op de Braziliaanse markt. Ghimob is de eerste Braziliaanse trojan voor mobiel bankieren die klaar is voor internationale expansie. We denken dat deze nieuwe campagne verband kan houden met Guildma, omdat ze dezelfde infrastructuur delen. We raden financiële instellingen aan om deze bedreigingen nauwlettend in de gaten te houden, terwijl ze hun authenticatieprocessen verbeteren, anti-fraudetechnologie en gegevens over bedreigingsinformatie stimuleren en alle risico's van deze nieuwe mobiele RAT-familie proberen te begrijpen en te verkleinen'', aldus Fabio Assolini, beveiligingsexpert bij Kaspersky .

Kaspersky-producten detecteren de nieuwe familie als Trojan-Banker.AndroidOS.Ghimob.

Om beschermd te blijven tegen RAT en bankbedreigingen, raadt Kaspersky aan om de volgende beveiligingsmaatregelen te nemen:
  • Geef het SOC-team toegang tot de nieuwste dreigingsinformatie (TI). De Kaspersky Threat Intelligence Portal geeft toegang tot de TI van het bedrijf en biedt gegevens over cyberaanvallen en inzichten die Kaspersky al meer dan 20 jaar heeft verzameld.
  • Leer klanten over de mogelijke trucs die boosdoeners kunnen gebruiken. Stuur ze regelmatig informatie over hoe ze fraude kunnen identificeren en hoe ze zich in deze situatie kunnen gedragen.
  • Implementeer een fraudebestrijdingsoplossing, zoals Kaspersky Fraud Prevention. Het kan het mobiele kanaal beschermen tegen gebeurtenissen wanneer aanvallers op afstand een ??frauduleuze transactie willen uitvoeren. Ter bescherming kan de oplossing zowel RAT-malware op het apparaat detecteren, als tekenen van afstandsbediening identificeren via legale software.
Lees het volledige rapport over Securelist voor meer informatie over de nieuwe exploits die hierboven zijn beschreven.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Kaspersky

Kaspersky is een wereldwijd opererend cybersecuritybedrijf opgericht in 1997. Zowel consumenten, overheidsinstanties als bedrijven vertrouwen op de uitgebreide expertise op het vlak van dreigingsinformatie en de meest geavanceerde beveiligingsoplossingen en -diensten van Kaspersky ter bescherming van kritieke infrastructuren en (eco)systemen.
Meer over Kaspersky

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191030103431.png
Conference by app developers, for app developers!
20191029200614.jpg
Drive value with data
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030101402.jpg
De grootste Nederlandse site over Android
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.