Le nouveau cheval de Troie Ghimob peut espionner 153 applications mobiles et extraire des mots de passe
Un nouveau cheval de Troie bancaire très dangereux a été découvert par des chercheurs en sécurité. La menace surnommée Ghimob cible les téléphones portables et les tablettes.
Ghimob est un cheval de Troie d'accès à distance qui serait originaire du Brésil. Les mauvais acteurs derrière cela ont jusqu'à présent déployé Ghimob dans les pays d'Amérique latine et d'Europe, mais le logiciel malveillant devrait frapper les victimes aux États-Unis assez tôt.
Le cheval de Troie cible les appareils Android et se propage à l'aide d'e-mails malveillants. Les faux e-mails tentent de faire peur à la victime en lui faisant croire qu'elle a une sorte de dette impayée envers les institutions financières. Les tactiques de peur sont un outil d'ingénierie sociale courant qui fonctionne souvent étonnamment bien.
Une fois que l'utilisateur inquiet appuie sur un lien malveillant contenu dans l'e-mail, le cheval de Troie est téléchargé et déployé sur l'appareil mobile. A partir de ce moment, Ghimob dispose d'un accès plus ou moins complet au téléphone ou à la tablette.
Le malware est capable d'espionner plus de 150 applications Android différentes. Ses capacités malveillantes incluent également l'accès au microphone et la possibilité de capturer tout texte saisi manuellement sur l'appareil, y compris les mots de passe. Étonnamment, les chercheurs affirment également que le RAT peut même capturer des motifs et des formes de balayage d'écran de verrouillage. Ghimob peut également exploiter les fonctionnalités de déverrouillage biométrique, en utilisant un faux écran noir qui lance silencieusement une application bancaire ou financière et incite l'utilisateur à penser qu'il déverrouille son téléphone , alors qu'en réalité, il utilise son empreinte digitale pour donner accès à l'application sensible.
Ghimob est très difficile à détecter
Le fait que Ghimob n'accède pas aux comptes bancaires via des appareils externes mais utilise l'appareil reconnu et légitime du titulaire du compte le rend très difficile à détecter. Les mesures de sécurité en ligne mises en place par de nombreux services financiers ne sonnent jamais l'alarme lorsqu'un appareil reconnu est utilisé, ce qui rend le RAT très dangereux.
Les chercheurs de Kaspersky ont déclaré qu'ils pensaient que le nouveau cheval de Troie provenait de l'acteur brésilien Guildma. Le groupe est connu des chercheurs et a été associé à plusieurs autres chevaux de Troie bancaires dans le passé. Alors que Guildma avait l'habitude de lancer ses logiciels malveillants principalement au Brésil, il semble que le groupe se développe et teste ses logiciels malveillants dans de nouveaux territoires.
Il n'y a aucune preuve tangible que Ghimob ait jamais été utilisé sur des victimes aux États-Unis.