Existe um novo cavalo de Troia Android, chamado “Ghimob”, que visa aplicativos financeiros de bancos, empresas fintech, bolsas e criptomoedas no Brasil, Paraguai, Peru, Portugal , Alemanha, Angola e Moçambique. Esta informação foi vinculado pela a Equipa de Análise e Pesquisa Global da Kaspersky (GReAT).
“Ghimob é um espião de pleno direito, no seu bolso: assim que a infecção for concluída, o hacker pode aceder ao dispositivo infectado remotamente, concluindo a transação fraudulenta usando o próprio smartphone da vítima. Deste modo, evita ser identificado, conseguindo assim ultrapassar as eventuais medidas de segurança implementadas pela instituição financeira, e todos os seus sistemas antifraude “.
O modus operandi do Ghimob é usar e-mails de phishing, como um mecanismo para distribuir o malware, atraindo assim usuários menos atentos, a clicarem em URLs maliciosos que baixam o instalador APK do Ghimob.
O Ghimob engana a vítima por meio de um email, quando este é aberto no celular. Na mensagem é oferecida ajuda para pagamento de dívidas e exibido um link para saber mais detalhes. Ao clicar no link, o arquivo malicioso é baixado e infecta o dispositivo móvel. Assim, os cibercriminosos podem realizar, remotamente, transações fraudulentas.
O Trojan, uma vez instalado no dispositivo, funciona de forma muito semelhante a outros RATs móveis. Dissimula a sua presença, ocultando o ícone da gaveta do aplicativo e abusa dos recursos de acessibilidade do Android para ganhar persistência, desabilitar a desinstalação manual e permitir que o Trojan bancário capture pressionamentos de tecla, manipular o conteúdo da tela e fornecer control remoto total ao invasor.
“Mesmo que o usuário tenha um padrão de bloqueio de tela, o Ghimob é capaz de gravá-lo e depois reproduzi-lo para desbloquear o dispositivo”, disseram os pesquisadores.
“Quando o cibercriminoso está pronto para realizar a transação, ele pode inserir uma tela preta como uma sobreposição ou abrir algum site em tela cheia. Deste modo, enquanto o usuário olha para a tela, o criminoso realiza a transação em segundo plano, usando o aplicativo financeiro que corre no smartphone da vítima que o usuário abriu ou acedeu. “
Além disso, o Ghimob tem como alvo 153 aplicativos móveis, 112 dos quais são instituições financeiras sediadas no Brasil, com criptomoeda e aplicativos bancários na Alemanha, Portugal, Peru, Paraguai, Angola e Moçambique responsáveis pelo restante.
“Ghimob é o primeiro cavalo de Troia de banco móvel brasileiro pronto para se expandir e visar instituições financeiras e seus clientes”, concluíram os pesquisadores da Kaspersky. “O Trojan está bem preparado para roubar credenciais de bancos, fintechs, bolsas, cripto-trocas e cartões de crédito de instituições financeiras que operam em muitos países.”
Para obter mais informações e ferramentas para ajudar a sua empresa a evitar ataques de phishing, contacte a GO4IT.