Το νέο Ghimob Trojan μπορεί να κατασκοπεύει 153 εφαρμογές για κινητά και να εξαγάγει κωδικούς πρόσβασης

Ένα νέο, πολύ επικίνδυνο τραπεζικό Trojan έχει ανακαλυφθεί από ερευνητές ασφαλείας. Η απειλή που ονομάζεται Ghimob στοχεύει κινητά τηλέφωνα και tablet.

Το Ghimob είναι ένας Trojan απομακρυσμένης πρόσβασης που πιστεύεται ότι προέρχεται από τη Βραζιλία. Οι κακοί ηθοποιοί πίσω από αυτό έχουν αναπτύξει μέχρι τώρα το Ghimob σε χώρες της Λατινικής Αμερικής και της Ευρώπης, αλλά το κακόβουλο λογισμικό αναμένεται να πλήξει τα θύματα στις ΗΠΑ σύντομα.

Το Trojan στοχεύει συσκευές Android και εξαπλώνεται χρησιμοποιώντας κακόβουλα e-mail. Τα ψεύτικα ηλεκτρονικά μηνύματα προσπαθούν να τρομάξουν το θύμα να πιστεύει ότι έχουν κάποιο είδος απλήρωτου χρέους σε χρηματοπιστωτικά ιδρύματα. Η τακτική τρόμου είναι ένα κοινό εργαλείο κοινωνικής μηχανικής που συχνά λειτουργεί εκπληκτικά καλά.

Μόλις ο ανήσυχος χρήστης πατήσει έναν κακόβουλο σύνδεσμο που περιέχεται στο e-mail, το Trojan λαμβάνεται και αναπτύσσεται στην κινητή συσκευή. Από εδώ και στο εξής, το Ghimob έχει λίγο πολύ πλήρη πρόσβαση στο τηλέφωνο ή το tablet.

Το κακόβουλο λογισμικό είναι σε θέση να κατασκοπεύει πάνω από 150 διαφορετικές εφαρμογές Android. Οι κακόβουλες δυνατότητές του περιλαμβάνουν επίσης πρόσβαση μικροφώνου και δυνατότητα λήψης οποιουδήποτε κειμένου που εισάγεται χειροκίνητα στη συσκευή, συμπεριλαμβανομένων των κωδικών πρόσβασης. Παραδόξως, οι ερευνητές ισχυρίζονται επίσης ότι το RAT μπορεί ακόμη και να συλλάβει μοτίβα και σχήματα σάρωσης οθόνης κλειδώματος. Το Ghimob μπορεί επίσης να εκμεταλλευτεί βιομετρικά χαρακτηριστικά ξεκλειδώματος, χρησιμοποιώντας μια ψεύτικη μαύρη οθόνη που ξεκινά σιωπηλά μια τραπεζική ή οικονομική εφαρμογή και παραπλανά τον χρήστη να σκεφτεί ότι ξεκλειδώνει το τηλέφωνό του , ενώ στην πραγματικότητα χρησιμοποιούν το δακτυλικό τους αποτύπωμα για να δώσουν πρόσβαση στην ευαίσθητη εφαρμογή.

Το Ghimob είναι πολύ δύσκολο να εντοπιστεί

Το γεγονός ότι η Ghimob δεν έχει πρόσβαση σε τραπεζικούς λογαριασμούς μέσω εξωτερικών συσκευών αλλά χρησιμοποιεί την αναγνωρισμένη και νόμιμη συσκευή του κατόχου του λογαριασμού καθιστά πολύ δύσκολο να εντοπιστεί. Τα διαδικτυακά μέτρα ασφάλειας που εφαρμόζουν πολλές χρηματοοικονομικές υπηρεσίες δεν χτυπούν ποτέ το συναγερμό όταν χρησιμοποιείται μια αναγνωρισμένη συσκευή, γεγονός που καθιστά τον RAT πολύ επικίνδυνο.

Οι ερευνητές του Kaspersky δήλωσαν ότι πιστεύουν ότι το νέο Trojan προέρχεται από τον βραζιλιάνο ηθοποιό Guildma. Η ομάδα είναι γνωστή στους ερευνητές και έχει συσχετιστεί με πολλούς άλλους Τρωικούς τραπεζικούς στο παρελθόν. Ενώ η Guildma χρησιμοποιούσε το κακόβουλο λογισμικό της κυρίως στη Βραζιλία, φαίνεται ότι η ομάδα επεκτείνεται και δοκιμάζει το κακόβουλο λογισμικό της σε νέες περιοχές.

Δεν υπάρχει καμία ένδειξη ότι το Ghimob χρησιμοποιήθηκε ποτέ σε θύματα εντός των ΗΠΑ.