O novo cavalo de Tróia Ghimob pode espionar 153 aplicativos móveis e extrair senhas
Um novo Trojan bancário muito perigoso foi descoberto por pesquisadores de segurança. A ameaça apelidada de Ghimob tem como alvo telefones celulares e tablets.
Ghimob é um Trojan de acesso remoto que se acredita ser originário do Brasil. Os malfeitores por trás dele até agora implantaram o Ghimob em países da América Latina e da Europa, mas o malware deve atingir as vítimas nos Estados Unidos em breve.
O Trojan tem como alvo dispositivos Android e se espalha por meio de e-mails maliciosos. Os e-mails falsos tentam assustar a vítima e faze-la pensar que ela tem algum tipo de dívida não paga com instituições financeiras. As táticas de intimidação são uma ferramenta comum de engenharia social que geralmente funciona surpreendentemente bem.
Uma vez que o usuário preocupado clica em um link malicioso contido no e-mail, o Trojan é baixado e implantado no dispositivo móvel. Desse ponto em diante, Ghimob tem acesso mais ou menos completo ao telefone ou tablet.
O malware é capaz de espionar mais de 150 aplicativos Android diferentes. Seus recursos maliciosos também incluem acesso ao microfone e a capacidade de capturar qualquer texto inserido manualmente no dispositivo, incluindo senhas. Surpreendentemente, os pesquisadores também afirmam que o RAT pode até mesmo capturar padrões e formas de deslizamento da tela de bloqueio. O Ghimob também pode explorar recursos de desbloqueio biométrico, usando uma tela preta falsa que abre silenciosamente um aplicativo bancário ou financeiro e leva o usuário a pensar que está desbloqueando o telefone , enquanto na realidade está usando sua impressão digital para dar acesso ao aplicativo confidencial.
Ghimob é muito difícil de detectar
O fato de que Ghimob não acessa contas bancárias por meio de dispositivos externos, mas usa o dispositivo reconhecido e legítimo do proprietário da conta, torna-o muito difícil de detectar. As medidas de segurança online que muitos serviços financeiros implementam nunca tocam o alarme quando um dispositivo reconhecido é usado, o que torna o RAT muito perigoso.
Os pesquisadores da Kaspersky afirmaram acreditar que o novo Trojan se origina do ator brasileiro de ameaças Guildma. O grupo é conhecido pelos pesquisadores e já foi associado a vários outros cavalos de Troia bancários. Embora a Guildma costumava lançar seu malware principalmente no Brasil, parece que o grupo está expandindo e testando seu malware em novos territórios.
Não há nenhuma evidência de que Ghimob tenha sido usado em vítimas dentro dos Estados Unidos.
