Mutt
Professional
- Messages
- 1,458
- Reaction score
- 1,280
- Points
- 113
Новое вредоносное ПО для Android «Ghimob» имитирует сторонние мобильные (в основном банковские) приложения, чтобы шпионить и красть пользовательские данные при загрузке и установке. Этот троянский вирус крадет данные у пользователей, в первую очередь нацеленный на онлайн-банкинг и криптовалюту.
Считается, что по состоянию на конец 2020 года он перекачивает данные из более чем 153 приложений, запрашивая разрешения доступа и используя проверки отладчика. И риск для жертв велик, так как злоумышленники могут обойти меры безопасности банковских учреждений и совершать транзакции на смартфонах пользователей Android.
Вот что вам нужно знать, чтобы защитить себя от этой последней атаки вредоносного ПО.
Как работает вредоносное ПО Ghimob
Вредоносная программа Ghimob работает, сидя на мобильном устройстве и ища банковские приложения. Затем он открывает злоумышленнику возможность украсть деньги, пока другое приложение работает в качестве прикрытия.
Группа Ghimob будет использовать электронные письма или вредоносные сайты для перенаправления пользователей на сайты, продвигающие приложения для Android. Электронное письмо обычно отправляется пользователю со ссылкой. Эта ссылка ведет пользователей к аутентично выглядящему приложению, в основном предоставленному мошенническим кредитором. Вредоносная программа-троян Ghimob устанавливает себя, а затем отправляет сообщение на сервер управления и контроля (C2), содержащее данные о телефонах жертв, включая модель и детали блокировки экрана. Затем он крадет конфиденциальную информацию пользователя.
Эти приложения также имитировали официальные приложения и бренды, такие как Google Defender, Google Docs, WhatsApp Updater и Flash Update.
«Лаборатория Касперского» обнаружила эту итерацию вредоносного ПО Ghimob, отслеживая попытки вредоносного ПО для Windows, предпринимаемые злоумышленниками, известными как Guildma. Служба безопасности узнала, что кампания загружала установщик APK для Ghimob, если жертвы нажимали на один из вредоносных URL-адресов кампании в браузере на базе Android.
Установщики APK вредоносного ПО выдавали себя за установщики популярных приложений. На момент открытия они не были доступны для загрузки в магазине Google Play, но размещались на нескольких доменах, зарегистрированных операторами Guildma.
После установки вредоносный троян удаленного доступа (RAT) провел серию тестов для проверки наличия эмуляторов и отладчиков. Он прекращал работу, если какой-либо из этих тестов давал положительный результат. В противном случае вредоносная программа Ghimob запрашивала у жертв разрешения доступа.
Получив разрешение, вредоносная программа RAT отправила сообщение на свой сервер уведомлений. Это включало модель зараженного устройства, наличие блокировки экрана на этом телефоне Android и список установленных приложений.
Шпионаж изнутри
После встраивания в телефон Ghimob использует собранные данные для отслеживания 153 мобильных приложений, принадлежащих банкам, финтех-компаниям и биржам криптовалюты в Бразилии, Германии, Португалии, Перу, Парагвае, Анголе и Мозамбике. Когда он обнаруживает, что одно из этих приложений работает на зараженном устройстве, он начинает шпионить за ним.
Оттуда вредоносная программа сообщает своим обработчикам о настройках специальных возможностей на зараженном устройстве. Для этого используется резервная команда и контроль (C2) - в данном случае жестко запрограммированные поставщики C2, с которыми вредоносная программа Ghimob связалась для получения фактического адреса C2. Этот метод помогает обработчикам вредоносных программ поддерживать постоянный контроль и управление.
Семейство банковских троянцев Tétrade
Guildma - это известный банковский троян, разработанный бразильскими злоумышленниками и обнаруженный по всему миру. Впервые появившееся в 2015 году, это вредоносное ПО привлекло внимание исследователей безопасности, злоупотребляя двоичными файлами Living Off the Land (LOLbins) или законными двоичными файлами, встроенными в компьютер, а также полезными нагрузками, размещенными на YouTube и Facebook. Эти методы помогли угрозе поразить пользователей в Бразилии, Китае и Европе.
«Лаборатория Касперского» проанализировала Guildma и ее вредоносное ПО Ghimob в контексте семейства банковских троянцев Tétrade, группы из четырех крупных семейств банковских троянцев, впервые созданных в Бразилии. Tétrade состоит из Guildma, а также Javali, Melcoz и Grandoreiro.
Это самые крупные банковские троянцы в Бразилии, но есть и другие. Такие операторы, как AVLay и другие, используют обходы двухфакторной аутентификации и поддельные окна чата, чтобы охотиться на финансовые учреждения и их клиентов.
Как защититься от вредоносного ПО Ghimob
Пользователи могут защитить себя от угроз, таких как вредоносное ПО Ghimob, следуя передовым методам обеспечения безопасности мобильных устройств . Эти правила включают загрузку приложений только из доверенных групп в официальных магазинах мобильных приложений и поддержание мобильных устройств в актуальном состоянии. Руководствуйтесь здравым смыслом: не утверждайте разрешения, которые не требуются для заявленной цели приложения.
В то же время организации могут защитить пользователей от киберугроз в сфере финансовых услуг, добавив в свои приложения искусственный интеллект и многофакторную аутентификацию. Эти функции могут помочь предотвратить такие угрозы, как вредоносное ПО Ghimob, от использования оверлейной атаки для получения доступа к учетной записи клиента.
Считается, что по состоянию на конец 2020 года он перекачивает данные из более чем 153 приложений, запрашивая разрешения доступа и используя проверки отладчика. И риск для жертв велик, так как злоумышленники могут обойти меры безопасности банковских учреждений и совершать транзакции на смартфонах пользователей Android.
Вот что вам нужно знать, чтобы защитить себя от этой последней атаки вредоносного ПО.
Как работает вредоносное ПО Ghimob
Вредоносная программа Ghimob работает, сидя на мобильном устройстве и ища банковские приложения. Затем он открывает злоумышленнику возможность украсть деньги, пока другое приложение работает в качестве прикрытия.
Группа Ghimob будет использовать электронные письма или вредоносные сайты для перенаправления пользователей на сайты, продвигающие приложения для Android. Электронное письмо обычно отправляется пользователю со ссылкой. Эта ссылка ведет пользователей к аутентично выглядящему приложению, в основном предоставленному мошенническим кредитором. Вредоносная программа-троян Ghimob устанавливает себя, а затем отправляет сообщение на сервер управления и контроля (C2), содержащее данные о телефонах жертв, включая модель и детали блокировки экрана. Затем он крадет конфиденциальную информацию пользователя.
Эти приложения также имитировали официальные приложения и бренды, такие как Google Defender, Google Docs, WhatsApp Updater и Flash Update.
«Лаборатория Касперского» обнаружила эту итерацию вредоносного ПО Ghimob, отслеживая попытки вредоносного ПО для Windows, предпринимаемые злоумышленниками, известными как Guildma. Служба безопасности узнала, что кампания загружала установщик APK для Ghimob, если жертвы нажимали на один из вредоносных URL-адресов кампании в браузере на базе Android.
Установщики APK вредоносного ПО выдавали себя за установщики популярных приложений. На момент открытия они не были доступны для загрузки в магазине Google Play, но размещались на нескольких доменах, зарегистрированных операторами Guildma.
После установки вредоносный троян удаленного доступа (RAT) провел серию тестов для проверки наличия эмуляторов и отладчиков. Он прекращал работу, если какой-либо из этих тестов давал положительный результат. В противном случае вредоносная программа Ghimob запрашивала у жертв разрешения доступа.
Получив разрешение, вредоносная программа RAT отправила сообщение на свой сервер уведомлений. Это включало модель зараженного устройства, наличие блокировки экрана на этом телефоне Android и список установленных приложений.
Шпионаж изнутри
После встраивания в телефон Ghimob использует собранные данные для отслеживания 153 мобильных приложений, принадлежащих банкам, финтех-компаниям и биржам криптовалюты в Бразилии, Германии, Португалии, Перу, Парагвае, Анголе и Мозамбике. Когда он обнаруживает, что одно из этих приложений работает на зараженном устройстве, он начинает шпионить за ним.
Оттуда вредоносная программа сообщает своим обработчикам о настройках специальных возможностей на зараженном устройстве. Для этого используется резервная команда и контроль (C2) - в данном случае жестко запрограммированные поставщики C2, с которыми вредоносная программа Ghimob связалась для получения фактического адреса C2. Этот метод помогает обработчикам вредоносных программ поддерживать постоянный контроль и управление.
Семейство банковских троянцев Tétrade
Guildma - это известный банковский троян, разработанный бразильскими злоумышленниками и обнаруженный по всему миру. Впервые появившееся в 2015 году, это вредоносное ПО привлекло внимание исследователей безопасности, злоупотребляя двоичными файлами Living Off the Land (LOLbins) или законными двоичными файлами, встроенными в компьютер, а также полезными нагрузками, размещенными на YouTube и Facebook. Эти методы помогли угрозе поразить пользователей в Бразилии, Китае и Европе.
«Лаборатория Касперского» проанализировала Guildma и ее вредоносное ПО Ghimob в контексте семейства банковских троянцев Tétrade, группы из четырех крупных семейств банковских троянцев, впервые созданных в Бразилии. Tétrade состоит из Guildma, а также Javali, Melcoz и Grandoreiro.
Это самые крупные банковские троянцы в Бразилии, но есть и другие. Такие операторы, как AVLay и другие, используют обходы двухфакторной аутентификации и поддельные окна чата, чтобы охотиться на финансовые учреждения и их клиентов.
Как защититься от вредоносного ПО Ghimob
Пользователи могут защитить себя от угроз, таких как вредоносное ПО Ghimob, следуя передовым методам обеспечения безопасности мобильных устройств . Эти правила включают загрузку приложений только из доверенных групп в официальных магазинах мобильных приложений и поддержание мобильных устройств в актуальном состоянии. Руководствуйтесь здравым смыслом: не утверждайте разрешения, которые не требуются для заявленной цели приложения.
В то же время организации могут защитить пользователей от киберугроз в сфере финансовых услуг, добавив в свои приложения искусственный интеллект и многофакторную аутентификацию. Эти функции могут помочь предотвратить такие угрозы, как вредоносное ПО Ghimob, от использования оверлейной атаки для получения доступа к учетной записи клиента.
