Durante il monitoraggio di una campagna Windows del malware bancario
Guildma, i ricercatori di Kaspersky hanno trovato alcune URL che, oltre a distribuire un file .ZIP dannoso per Windows, distribuivano un downloader per installare Ghimob, un nuovo Trojan bancario.
Guildma, un threat actor che fa parte della famigerata serie
Tétrade, nota per le sue attività malevole scalabili sia in America Latina che in altre parti del mondo, ha lavorato attivamente a nuove tecniche, sviluppando malware e prendendo di mira nuove vittime.
La nuova creazione di questo gruppo criminale -
il Trojan bancario Ghimob - installa il file malevolo servendosi di un'e-mail che comunica all’utente di avere un debito. L'e-mail include anche un link su cui cliccare per avere maggiori informazioni. Una volta installato il RAT, il malware invia un messaggio al server per comunicare l’avvenuta infezione. Il messaggio include il modello di telefono, se è dotato di lock screen di sicurezza e un elenco di tutte le applicazioni installate che il malware può prendere di mira. In totale, Ghimob può spiare 153 applicazioni mobile tra cui quelle legate a banche, aziende fintech, criptovalute e borse.Ghimob può essere definito una spia nella tasca della vittima.
Gli sviluppatori
possono accedere da remoto al dispositivo infetto e portare a termine le frodi usando lo smartphone della vittima evitando così di essere identificato dalla macchina e sfuggendo a tutte le misure di sicurezza messe in atto dalle istituzioni finanziarie e da tutti i loro sistemi comportamentali antifrode. Anche se l'utente utilizza uno schema di lock screen, Ghimob è in grado di registrarlo e riprodurlo per sbloccare il dispositivo. Nel momento in cui gli sviluppatori sono pronti ad eseguire una transazione fraudolenta,
possono inserire una sovrapposizione dello schermo nero o aprire alcuni siti web a schermo intero. Mentre l'utente guarda quella schermata, gli sviluppatori eseguono la transazione fraudolenta in background, utilizzando l'applicazione finanziaria già aperta o connessa in esecuzione sul dispositivo.
Dalle statistiche di Kaspersky è emerso che oltre al Brasile, gli obiettivi di Ghimob si trovano in Paraguay, Perù, Portogallo, Germania, Angola e Mozambico.
"La volontà dei cybercriminali latinoamericani di avere un Trojan per il mobile banking che abbia una portata mondiale fa parte di una lunga storia. Abbiamo già avuto modo di osservare Basbanke e BRata, anche se entrambi erano fortemente concentrati sul mercato brasiliano. Ghimob è, invece, il primo mobile banking Trojan brasiliano pronto per l'espansione a livello internazionale. Per svariati motivi, crediamo che questa nuova campagna possa essere collegata al threat actor Guildma, responsabile di un noto Trojan bancario brasiliano. Il motivo principale è il fatto che condividono la stessa infrastruttura. Raccomandiamo alle istituzioni finanziarie di osservare attentamente queste minacce e di migliorare i processi di autenticazione, potenziando la tecnologia antifrode e i dati di threat intelligence, e cercando di comprendere e mitigare tutti i rischi di questa nuova famiglia di RAT per mobile", ha commentato Fabio Assolini, security expert di Kaspersky.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
