新的Ghimob木馬可以監視153個移動應用並提取密碼

安全研究人員發現了一種新的,非常危險的銀行木馬。暱稱Ghimob的威脅針對手機和平板電腦。

Ghimob是一種遠程訪問木馬,被認為起源於巴西。到目前為止,它背後的不良行為者已經在拉丁美洲和歐洲國家部署了Ghimob,但是預計該惡意軟件會盡快襲擊美國的受害者。

該木馬針對的是Android設備,並通過惡意電子郵件進行傳播。這些偽造的電子郵件試圖嚇the受害者,使他們認為他們對金融機構負有某種未償債務。恐嚇策略是一種常見的社會工程工具,通常效果出奇。

一旦擔心的用戶點擊了電子郵件中包含的惡意鏈接,特洛伊木馬程序便會下載並部署到移動設備上。從現在開始,Ghimob或多或少可以完全訪問手機或平板電腦。

該惡意軟件可以監視150多種不同的Android應用。它的惡意功能還包括訪問麥克風和捕獲在設備上手動輸入的任何文本(包括密碼)的能力。令人驚訝的是,研究人員還聲稱RAT甚至可以捕獲鎖定屏幕的滑動圖案和形狀。據稱,Ghimob還可以利用偽造的黑屏來利用生物特徵識別解鎖功能,該功能可以無聲地啟動銀行或金融應用程序,並欺騙用戶以為他們正在解鎖手機,而實際上,他們使用指紋來訪問敏感應用程序。

Ghimob很難被發現

Ghimob不能通過外部設備訪問銀行帳戶,而是使用帳戶所有者公認的合法設備,這一事實使其很難被發現。使用公認的設備時,許多金融服務已經採用的在線安全措施永遠不會響起警報,這使RAT非常危險。

卡巴斯基的研究人員表示,他們相信新的特洛伊木馬起源於巴西威脅演員吉爾德瑪。該小組為研究人員所知,過去曾與其他多個銀行木馬相關。儘管Guildma以前主要在巴西內部啟動其惡意軟件,但似乎該組織正在新領域擴展和測試其惡意軟件。

沒有確鑿的證據表明,Ghimob曾在美國境內被用於受害者。

November 13, 2020

發表評論