Der neue Ghimob-Trojaner kann 153 mobile Apps ausspionieren und Passwörter extrahieren

Ein neuer, sehr gefährlicher Banking-Trojaner wurde von Sicherheitsforschern entdeckt. Die Bedrohung mit dem Spitznamen Ghimob zielt auf Mobiltelefone und Tablets ab.

Ghimob ist ein Trojaner mit Fernzugriff, von dem angenommen wird, dass er aus Brasilien stammt. Die schlechten Schauspieler dahinter haben Ghimob bisher in lateinamerikanischen und europäischen Ländern eingesetzt, aber es wird erwartet, dass die Malware die Opfer in den USA früh genug trifft.

Der Trojaner zielt auf Android-Geräte ab und wird mithilfe bösartiger E-Mails verbreitet. Die gefälschten E-Mails versuchen, das Opfer zu erschrecken, dass es eine Art unbezahlte Schulden gegenüber Finanzinstituten hat. Angst-Taktiken sind ein gängiges Social-Engineering-Tool, das oft überraschend gut funktioniert.

Sobald der betroffene Benutzer auf einen in der E-Mail enthaltenen schädlichen Link tippt, wird der Trojaner heruntergeladen und auf dem mobilen Gerät bereitgestellt. Ab diesem Zeitpunkt hat Ghimob mehr oder weniger vollständigen Zugriff auf das Telefon oder Tablet.

Die Malware kann über 150 verschiedene Android-Apps ausspionieren. Zu den schädlichen Funktionen gehören auch der Zugriff auf das Mikrofon und die Erfassung von manuell auf dem Gerät eingegebenem Text, einschließlich Kennwörtern. Überraschenderweise behaupten die Forscher auch, dass die RAT sogar Sperrbildschirm-Wischmuster und -formen erfassen kann. Ghimob kann angeblich auch biometrische Entsperrfunktionen nutzen, indem er einen gefälschten schwarzen Bildschirm verwendet, der eine Bank- oder Finanzanwendung stillschweigend startet und den Benutzer dazu verleitet, zu glauben, dass er sein Telefon entsperrt , während er in Wirklichkeit seinen Fingerabdruck verwendet, um Zugriff auf die vertrauliche App zu gewähren.

Ghimob ist sehr schwer zu erkennen

Die Tatsache, dass Ghimob nicht über externe Geräte auf Bankkonten zugreift, sondern das anerkannte und legitime Gerät des Kontoinhabers verwendet, macht es sehr schwer zu erkennen. Online-Sicherheitsmaßnahmen, über die viele Finanzdienstleister verfügen, lösen niemals den Alarm aus, wenn ein erkanntes Gerät verwendet wird, was die RAT sehr gefährlich macht.

Forscher von Kaspersky gaben an, dass sie glauben, dass der neue Trojaner vom brasilianischen Bedrohungsschauspieler Guildma stammt. Die Gruppe ist Forschern bekannt und wurde in der Vergangenheit mit mehreren anderen Bankentrojanern in Verbindung gebracht. Während Guildma seine Malware hauptsächlich in Brasilien startete, scheint es, als würde die Gruppe ihre Malware in neuen Gebieten erweitern und testen.

Es gibt keine eindeutigen Beweise dafür, dass Ghimob jemals bei Opfern in den USA eingesetzt wurde.

November 13, 2020

Antworten