«Durante il monitoraggio di una campagna Windows del malware bancario Guildma, i ricercatori di Kaspersky hanno trovato alcune URL che, oltre a distribuire un file .ZIP dannoso per Windows, distribuivano un downloader per installare Ghimob, un nuovo Trojan bancario.
Ghimob si infiltra all’interno dell’Accessibility Mode ed è in grado di guadagnare la persistenza e disabilitare la disinstallazione manuale, catturare i dati, manipolare il contenuto dello schermo e fornire un controllo da remoto completo ai threat actor. Secondo gli esperti, gli sviluppatori di questo Remote Access Trojan (RAT) molto tipico, mirano agli utenti che vivono in Brasile, ma hanno grandi progetti di espansione in tutto il mondo. La campagna risulta ancora attiva.
Guildma, un threat actor che fa parte della famigerata serie Tétrade, nota per le sue attività malevole scalabili sia in America Latina che in altre parti del mondo, ha lavorato attivamente a nuove tecniche, sviluppando malware e prendendo di mira nuove vittime.
La nuova creazione di questo gruppo criminale – il Trojan bancario Ghimob – installa il file malevolo servendosi di un’e-mail che comunica all’utente di avere un debito. L’e-mail include anche un link su cui cliccare per avere maggiori informazioni. Una volta installato il RAT, il malware invia un messaggio al server per comunicare l’avvenuta infezione. Il messaggio include il modello di telefono, se è dotato di lock screen di sicurezza e un elenco di tutte le applicazioni installate che il malware può prendere di mira. In totale, Ghimob può spiare 153 applicazioni mobile tra cui quelle legate a banche, aziende fintech, criptovalute e borse.
Ghimob può essere definito una spia nella tasca della vittima. Gli sviluppatori possono accedere da remoto al dispositivo infetto e portare a termine le frodi usando lo smartphone della vittima evitando così di essere identificato dalla macchina e sfuggendo a tutte le misure di sicurezza messe in atto dalle istituzioni finanziarie e da tutti i loro sistemi comportamentali antifrode. Anche se l’utente utilizza uno schema di lock screen, Ghimob è in grado di registrarlo e riprodurlo per sbloccare il dispositivo. Nel momento in cui gli sviluppatori sono pronti ad eseguire una transazione fraudolenta, possono inserire una sovrapposizione dello schermo nero o aprire alcuni siti web a schermo intero. Mentre l’utente guarda quella schermata, gli sviluppatori eseguono la transazione fraudolenta in background, utilizzando l’applicazione finanziaria già aperta o connessa in esecuzione sul dispositivo.
Dalle statistiche di Kaspersky è emerso che oltre al Brasile, gli obiettivi di Ghimob si trovano in Paraguay, Perù, Portogallo, Germania, Angola e Mozambico.
“La volontà dei cybercriminali latinoamericani di avere un Trojan per il mobile banking che abbia una portata mondiale fa parte di una lunga storia. Abbiamo già avuto modo di osservare Basbanke e BRata, anche se entrambi erano fortemente concentrati sul mercato brasiliano. Ghimob è, invece, il primo mobile banking Trojan brasiliano pronto per l’espansione a livello internazionale. Per svariati motivi, crediamo che questa nuova campagna possa essere collegata al threat actor Guildma, responsabile di un noto Trojan bancario brasiliano. Il motivo principale è il fatto che condividono la stessa infrastruttura. Raccomandiamo alle istituzioni finanziarie di osservare attentamente queste minacce e di migliorare i processi di autenticazione, potenziando la tecnologia antifrode e i dati di threat intelligence, e cercando di comprendere e mitigare tutti i rischi di questa nuova famiglia di RAT per mobile”, ha commentato Fabio Assolini, security expert di Kaspersky.»
