De nieuwe Ghimob-trojan kan 153 mobiele apps bespioneren en wachtwoorden extraheren
Een nieuwe, zeer gevaarlijke banktrojan is ontdekt door beveiligingsonderzoekers. De dreiging met de bijnaam Ghimob is gericht op mobiele telefoons en tablets.
Ghimob is een trojan voor externe toegang waarvan wordt aangenomen dat deze afkomstig is uit Brazilië. De slechteriken erachter hebben Ghimob tot nu toe ingezet in Latijns-Amerikaanse en Europese landen, maar de verwachting is dat de malware snel genoeg slachtoffers in de VS zal treffen.
De Trojan richt zich op Android-apparaten en wordt verspreid via kwaadaardige e-mails. De valse e-mails proberen het slachtoffer bang te maken door te denken dat ze een soort van onbetaalde schuld hebben bij financiële instellingen. Schriktactieken zijn een veelgebruikte tool voor social engineering die vaak verrassend goed werkt.
Zodra de bezorgde gebruiker op een kwaadaardige link in de e-mail tikt, wordt de Trojan gedownload en op het mobiele apparaat geïmplementeerd. Vanaf dit punt heeft Ghimob min of meer volledige toegang tot de telefoon of tablet.
De malware kan meer dan 150 verschillende Android-apps bespioneren. De kwaadaardige mogelijkheden omvatten ook microfoontoegang en de mogelijkheid om tekst vast te leggen die handmatig op het apparaat wordt ingevoerd, inclusief wachtwoorden. Verrassend genoeg beweren de onderzoekers ook dat de RAT zelfs veegpatronen en vormen op het vergrendelscherm kan vastleggen. Ghimob kan naar verluidt ook biometrische ontgrendelingsfuncties gebruiken door een nepzwart scherm te gebruiken dat in stilte een bank- of financiële applicatie start en de gebruiker laat denken dat ze hun telefoon ontgrendelen , terwijl ze in werkelijkheid hun vingerafdruk gebruiken om toegang te geven tot de gevoelige app.
Ghimob is erg moeilijk te detecteren
Het feit dat Ghimob geen toegang heeft tot bankrekeningen via externe apparaten, maar het herkende en legitieme apparaat van de accounteigenaar gebruikt, maakt het erg moeilijk om te detecteren. Online beveiligingsmaatregelen die veel financiële dienstverleners hebben getroffen, gaan nooit aan de bel wanneer een herkend apparaat wordt gebruikt, wat de RAT erg gevaarlijk maakt.
Onderzoekers van Kaspersky verklaarden dat ze geloven dat de nieuwe Trojan afkomstig is van de Braziliaanse dreigingsacteur Guildma. De groep is bekend bij onderzoekers en is in het verleden in verband gebracht met meerdere andere banktrojanen. Terwijl Guildma zijn malware voornamelijk in Brazilië lanceerde, lijkt het erop dat de groep zijn malware uitbreidt en test in nieuwe gebieden.
Er is geen hard bewijs dat Ghimob ooit is gebruikt bij slachtoffers in de VS.