新的Ghimob木马可以监视153个移动应用并提取密码

安全研究人员发现了一种新的,非常危险的银行木马。昵称Ghimob的威胁针对手机和平板电脑。

Ghimob是一种远程访问木马,被认为起源于巴西。到目前为止,它背后的不良行为者已经在拉丁美洲和欧洲国家部署了Ghimob,但是预计该恶意软件会尽快袭击美国的受害者。

该木马针对的是Android设备,并通过恶意电子邮件进行传播。这些伪造的电子邮件试图吓the受害者,使他们认为他们对金融机构负有某种未偿债务。恐吓策略是一种常见的社会工程工具,通常效果出奇。

一旦担心的用户点击了电子邮件中包含的恶意链接,特洛伊木马程序便会下载并部署到移动设备上。从现在开始,Ghimob或多或少可以完全访问手机或平板电脑。

该恶意软件可以监视150多种不同的Android应用。它的恶意功能还包括访问麦克风和捕获在设备上手动输入的任何文本(包括密码)的能力。令人惊讶的是,研究人员还声称RAT甚至可以捕获锁定屏幕的滑动图案和形状。据称,Ghimob还可以利用伪造的黑屏来利用生物特征识别解锁功能,该功能可以无声地启动银行或金融应用程序,并欺骗用户以为他们认为自己在解锁手机,而实际上,他们使用指纹来访问敏感应用程序。

Ghimob很难被发现

Ghimob不能通过外部设备访问银行帐户,而是使用帐户所有者公认的合法设备,这一事实使其很难被发现。使用公认的设备时,许多金融服务已经采用的在线安全措施永远不会响起警报,这使RAT非常危险。

卡巴斯基的研究人员表示,他们相信新的特洛伊木马起源于巴西威胁演员吉尔德玛。该小组为研究人员所知,过去曾与其他多个银行木马相关。尽管Guildma以前主要在巴西内部启动其恶意软件,但似乎该组织正在新领域扩展和测试其恶意软件。

没有确凿的证据表明,Ghimob曾在美国境内被用于受害者。

November 13, 2020

发表评论