Il nuovo trojan Ghimob può spiare 153 app mobili ed estrarre password

Un nuovo e pericoloso Trojan bancario è stato scoperto dai ricercatori della sicurezza. La minaccia soprannominata Ghimob prende di mira telefoni cellulari e tablet.

Ghimob è un Trojan di accesso remoto che si ritiene provenga dal Brasile. I cattivi attori dietro di esso hanno finora schierato Ghimob nei paesi dell'America Latina e dell'Europa, ma si prevede che il malware colpirà le vittime negli Stati Uniti abbastanza presto.

Il Trojan prende di mira i dispositivi Android e si diffonde utilizzando e-mail dannose. Le false e-mail tentano di spaventare la vittima facendola credere di avere una sorta di debito non pagato con le istituzioni finanziarie. Le tattiche di paura sono uno strumento comune di ingegneria sociale che spesso funziona sorprendentemente bene.

Una volta che l'utente preoccupato tocca un collegamento dannoso contenuto nell'e-mail, il Trojan viene scaricato e distribuito sul dispositivo mobile. Da questo momento in poi Ghimob ha un accesso più o meno completo al telefono o al tablet.

Il malware è in grado di spiare oltre 150 diverse app Android. Le sue capacità dannose includono anche l'accesso al microfono e la capacità di acquisire qualsiasi testo immesso manualmente sul dispositivo, comprese le password. Sorprendentemente, i ricercatori affermano anche che il RAT può persino catturare modelli e forme di scorrimento della schermata di blocco. Ghimob può anche sfruttare le funzionalità di sblocco biometrico, utilizzando una finta schermata nera che avvia silenziosamente un'applicazione bancaria o finanziaria e induce l'utente a pensare che stia sbloccando il proprio telefono , mentre in realtà sta usando la propria impronta digitale per dare accesso all'app sensibile.

Ghimob è molto difficile da rilevare

Il fatto che Ghimob non acceda ai conti bancari tramite dispositivi esterni ma utilizzi il dispositivo riconosciuto e legittimo del titolare dell'account ne rende molto difficile l'individuazione. Le misure di sicurezza online messe in atto da molti servizi finanziari non fanno mai suonare l'allarme quando viene utilizzato un dispositivo riconosciuto, il che rende il RAT molto pericoloso.

I ricercatori di Kaspersky hanno dichiarato di ritenere che il nuovo Trojan provenga dall'attore brasiliano Guildma. Il gruppo è noto ai ricercatori ed è stato associato in passato a molti altri trojan bancari. Mentre Guildma lanciava il suo malware principalmente in Brasile, sembra che il gruppo si stia espandendo e testando il suo malware in nuovi territori.

Non ci sono prove concrete che Ghimob sia mai stato usato su vittime negli Stati Uniti.

November 13, 2020

Lascia un Commento