Az új Ghimob trójai kémkedhet 153 mobilalkalmazás és kibonthatja a jelszavakat
Új, nagyon veszélyes banki trójai programot fedeztek fel a biztonsági kutatók. A Ghimob becenevű fenyegetés mobiltelefonokat és táblagépeket céloz meg.
A Ghimob egy távoli hozzáférésű trójai program, amely vélhetően Brazíliából származik. A mögötte álló rossz szereplők eddig Ghimobot telepítették latin-amerikai és európai országokba, de a rosszindulatú programok várhatóan elég hamar el fogják érni az áldozatokat az Egyesült Államokban.
A trójai Android eszközöket célozza meg, és rosszindulatú e-mailek segítségével terjesztik. A hamis e-mailek megkísérlik megijeszteni az áldozatot, hogy azt gondolja, valamiféle ki nem fizetett tartozása van a pénzügyi intézmények felé. Az ijesztési taktika egy általános társadalommérnöki eszköz, amely gyakran meglepően jól működik.
Amint az aggódó felhasználó megérinti az e-mailben található rosszindulatú linket, a trójai program letöltésre és telepítésre kerül a mobil eszközön. Innentől kezdve a Ghimob többé-kevésbé teljes hozzáféréssel rendelkezik a telefonhoz vagy a táblagéphez.
A kártevő képes több mint 150 különböző Android-alkalmazás kémlelésére. Rosszindulatú képességei közé tartozik a mikrofonhoz való hozzáférés és az eszközön kézzel beírt szövegek, beleértve a jelszavakat is, rögzítése. Meglepő módon a kutatók azt is állítják, hogy a RAT akár a zárolási képernyő ellop mintáit és alakjait is képes rögzíteni. A Ghimob állítólag kihasználhatja a biometrikus feloldási funkciókat is, egy hamis fekete képernyőn, amely csendesen elindít egy banki vagy pénzügyi alkalmazást, és arra készteti a felhasználót, hogy azt gondolja, hogy kinyitja a telefonját , míg a valóságban az ujjlenyomatával hozzáférést biztosít az érzékeny alkalmazáshoz.
A Ghimobot nagyon nehéz kimutatni
Az a tény, hogy a Ghimob nem külső eszközökön keresztül jut el a bankszámlákhoz, hanem a számlatulajdonos elismert és törvényes eszközét használja, nagyon megnehezíti a felismerést. Számos pénzügyi szolgáltatás által bevezetett online biztonsági intézkedések soha nem szólítanak meg riasztást egy elismert eszköz használata esetén, ami nagyon veszélyesvé teszi a RAT-ot.
A Kaspersky kutatói kijelentették, hogy szerintük az új trójai Guildma brazil fenyegetés-színésztől származik. A csoportot a kutatók ismerik, és a múltban több más banki trójaival is kapcsolatban állt. Míg a Guildma elsősorban Brazílián belül indította el rosszindulatú programjait, úgy tűnik, hogy a csoport bővül és új területeken teszteli kártevő programjait.
Nincs egyértelmű bizonyíték arra, hogy Ghimobot valaha is használták volna az Egyesült Államokban élő áldozatokra.