Prilikom nadgledanja Windows kampanje Guildma bankarskog malvera, istraživači kompanije Kaspersky su pronašli URL adrese koje su distribuirale ne samo maliciozni .ZIP fajl za Windows, već i maliciozni fajl za koji se ispostavilo da je downloader za instaliranje Ghimob malvera – novog bankarskog Trojanca. Prilikom infiltriranja u Accessibility Mode, Ghimob malver može postati istrajan i onemogućiti ručnu deinstalaciju, prikupiti podatke, manipulisati sadržajem ekrana i obezbediti potpunu daljinsku kontrolu za aktere koji se iza njega nalaze. Prema nalazima stručnjaka, programeri ovog izrazito tipičnog mobilnog Remote Access Trojanca (RAT) se u velikoj meri fokusiraju na korisnike u Brazilu ali planiraju da se prošire širom sveta. Kampanja je i dalje aktivna.
Guildma, akter pretnji koji je deo ozloglašene Tétrade serije, poznat po svojim skalabilnim malicioznim aktivnostima kako u Latinskoj Americi tako i u drugim delovima sveta, aktivno je radio na novim tehnikama, razvijajući malver i targetirajući nove žrtve.
Njegova nova kreacija – Ghimob bankarski Trojanac – namamljuje žrtve da instaliraju maliciozni fajl kroz i-mejl koji ukazuje na to da osoba koja ga je primila ima neku vrstu duga. Takav i-mejl takođe sadrži link na koji žrtva treba da klikne kako bi dobila više informacija. Kada je RAT malver instaliran, on serveru šalje poruku o uspešnoj infekciji. Poruka uključuje model telefona, to da li je telefon obezbeđen zaključanim ekranom i listu instaliranih aplikacija koje malver može da targetira. Ghimob može ukupo da špijunira 153 mobilne aplikacije, najviše bankarske, aplikacije fintech kompanija, kriptovaluta i berzi.
Kada je reč o funkcijama, Ghimob je špijun u džepu žrtve. Programeri imaju mogućnost daljinskog pristupa inficiranom uređaju, izvršavajući prevaru korišćenjem pametnog telefona vlasnika kako bi izbegli mašinsku identifikaciju i bezbednosne mere koje su implementirale finansijske institucije i svi njihovi bihevioralni sistemi protiv prevara. Čak i ako korisnik koristi obrazac za zaključavanje ekrana, Ghimob malver može da ga snimi i zatim ponovi kako bi otključao uređaj. Kada su programeri spremni da izvrše lažnu transakciju, oni mogu da umetnu crni ekran kao “prekrivač” ili da otvore neke veb-sajtove preko celog ekrana. Zatim, dok korisnik gleda u taj ekran, programeri u pozadini izvršavaju transakciju, koristeći već otvorenu ili ulogovanu finansijsku aplikaciju koja je pokrenuta na uređaju.
Statistika kompanije Kaspersky pokazuje da su osim u Brazilu, mete Ghimob malvera locirane u Paragvaju, Peruu, Portugalu, Nemačkoj, Angoli i Mozambiku.
“Želja sajber kriminalaca iz Latinske Amerike da razviju bankarski Trojanac za mobilne uređaje koji ima doseg širom sveta je njihova dugogodišnja zamisao. Već smo se susreli sa Basbanke, i zatim BRata malverima, ali i jedan i drugi su izrazito bili fokusirani na brazilsko tržište. Zapravo, Ghimob je prvi brazilski bankarski Trojanac za mobilne uređaje koji je spreman za međunarodnu ekspanziju. Verujemo da se ova nova kampanja može dovesti u vezu sa Guildma akterom pretnji, odgovornim za dobro poznatog brazilskog bankarskog Trojanca, iz nekoliko razloga, ali naročito zato što dele istu infrastrukturu. Savetujemo finansijskim institucijama da dobro obrate pažnju na ove pretnje, dok poboljšavaju svoje procese autentifikacije, unapređuju tehnologiju protiv prevara i podatke o pretnjama, i pokušavaju da razumeju i umanje sve rizike ove nove mobilne RAT porodice,” komentariše Fabio Assolini, stručnjak za bezbednost, Kaspersky.
Kaspersky proizvodi novu porodicu prepoznaju kao Trojan-Banker.AndroidOS.Ghimob.
Kako biste bili zaštićeni od RAT i bankarskih pretnji, kompanija Kaspersky predlaže preduzimanje sledećih bezbednosnih mera:
- Svom SOC timu obezbedite pristup najnovijim informacijama o pretnjama (threat intelligence – TI). Kaspersky Threat Intelligence Portal obezbeđuje pristup informacijama o pretnjama, pružajući podatke o sajber napadima i uvide koje je kompanija Kaspersky prikupila tokom više od 20 godina.
- Edukujte svoje klijente o mogućim trikovima koje prevaranti mogu da koriste. Redovno im šaljite informacije o načinima identifikacije prevare i ponašanja u takvoj situaciji.
- Implementirajte anti-fraud rešenje kao što je Kaspersky Fraud Prevention. Ono mobilni kanal može da zaštiti od situacija u kojima napadači koriste daljinsku kontrolu kako bi izvršili lažnu transakciju, Za zaštitu, rešenje može da detektuje RAT malver na uređaju i da identifikuje znakove daljinske kontrole putem legalnog softvera.
Za više informacija o gore navedenim novim aktivnostima, pročitajte izveštaj u celosti na Securelist.