新しいGhimobトロイの木馬は、153のモバイルアプリをスパイしてパスワードを抽出できます
新しい非常に危険なバンキング型トロイの木馬がセキュリティ研究者によって発見されました。 Ghimobというニックネームの脅威は、携帯電話やタブレットを標的としています。
Ghimobは、ブラジルから発信されたと考えられているリモートアクセス型トロイの木馬です。その背後にある悪意のある人物は、これまでラテンアメリカとヨーロッパの国々にGhimobを配備してきましたが、マルウェアは米国の被害者をすぐに攻撃すると予想されています。
このトロイの木馬はAndroidデバイスを標的にしており、悪意のある電子メールを使用して拡散します。偽の電子メールは、被害者を怖がらせて、金融機関に何らかの未払いの借金があると思わせようとします。恐怖の戦術は、驚くほどうまく機能することが多い一般的なソーシャルエンジニアリングツールです。
心配しているユーザーが電子メールに含まれている悪意のあるリンクをタップすると、トロイの木馬がダウンロードされ、モバイルデバイスに展開されます。この時点から、Ghimobは携帯電話またはタブレットにほぼ完全にアクセスできます。
このマルウェアは、150を超えるさまざまなAndroidアプリをスパイすることができます。その悪意のある機能には、マイクアクセスや、パスワードなど、デバイスに手動で入力されたテキストをキャプチャする機能も含まれます。驚いたことに、研究者たちはまた、RATがロック画面のスワイプパターンや形状をキャプチャすることさえできると主張しています。 Ghimobは、銀行や金融のアプリケーションをサイレントに起動し、ユーザーをだまして電話のロックを解除していると思わせる偽の黒い画面を使用して、生体認証のロック解除機能を悪用する可能性もありますが、実際には指紋を使用して機密性の高いアプリにアクセスできます。
ギモブは検出が非常に難しい
Ghimobが外部デバイスを介して銀行口座にアクセスするのではなく、アカウント所有者の認識された正当なデバイスを使用しているという事実は、検出を非常に困難にします。多くの金融サービスが実施しているオンラインセキュリティ対策では、認識されたデバイスが使用されたときにアラームが鳴ることはなく、RATは非常に危険です。
Kasperskyの研究者は、新しいトロイの木馬はブラジルの脅威アクターGuildmaに由来すると信じていると述べました。このグループは研究者に知られており、過去に他の複数のバンキング型トロイの木馬に関連付けられてきました。 Guildmaは主にブラジル国内でマルウェアを起動していましたが、グループは新しい領域でマルウェアを拡大してテストしているようです。
Ghimobが米国内の犠牲者に使用されたことがあるという確固たる証拠はありません。