Den nye Ghimob Trojan kan spionere på 153 mobilapps og udtrække adgangskoder

En ny, meget farlig banktrojan er blevet opdaget af sikkerhedsforskere. Truslen med tilnavnet Ghimob er rettet mod mobiltelefoner og tablets.

Ghimob er en trojansk fjernadgang, der menes at stamme fra Brasilien. De dårlige skuespillere bag det har hidtil implementeret Ghimob i Latinamerikanske og europæiske lande, men malware forventes at ramme ofrene i USA hurtigt nok.

Trojanen er målrettet mod Android-enheder og spredes ved hjælp af ondsindede e-mails. De falske e-mails forsøger at skræmme offeret til at tro, at de har en form for ubetalt gæld til finansielle institutioner. Skræmmetaktik er et almindeligt socialt ingeniørværktøj, der ofte fungerer overraskende godt.

Når den bekymrede bruger trykker på et ondsindet link indeholdt i e-mailen, downloades Trojanen og distribueres på den mobile enhed. Fra dette tidspunkt har Ghimob mere eller mindre fuld adgang til telefonen eller tabletten.

Malwaren er i stand til at spionere på over 150 forskellige Android-apps. Dens ondsindede funktioner inkluderer også mikrofonadgang og muligheden for at fange enhver tekst, der indtastes manuelt på enheden, inklusive adgangskoder. Overraskende hævder forskerne også, at RAT endda kan fange mønstre og former på låseskærmens strygning. Ghimob kan også angiveligt udnytte biometriske oplåsningsfunktioner ved hjælp af en falsk sort skærm, der lydløst lancerer en bank- eller finansiel applikation og nar brugeren til at tro, at de låser deres telefon op , mens de i virkeligheden bruger deres fingeraftryk til at give adgang til den følsomme app.

Ghimob er meget svær at opdage

Det faktum, at Ghimob ikke har adgang til bankkonti via eksterne enheder, men bruger kontoens ejers anerkendte og legitime enhed, gør det meget svært at opdage. Onlinesikkerhedsforanstaltninger, som mange finansielle tjenester har på plads, ringer aldrig alarmen, når der anvendes en anerkendt enhed, hvilket gør RAT meget farlig.

Forskere med Kaspersky sagde, at de mener, at den nye trojan stammer fra den brasilianske trusselsaktør Guildma. Gruppen er kendt af forskere og har været forbundet med flere andre bank-trojanske heste tidligere. Mens Guildma plejede at lancere sin malware primært i Brasilien, ser det ud til, at gruppen udvider og tester sin malware i nye områder.

Der er ingen hårde beviser for, at Ghimob nogensinde blev brugt på ofre i USA.

November 13, 2020

Efterlad et Svar