Threat Database Malware Ghimob Malware

Ghimob Malware

Le Ghimob Malware est une nouvelle menace de cheval de Troie bancaire lancée par les mêmes acteurs de la menace qui étaient responsables du malware Astaroth (Guildma) Windows. Il semble qu'avec Ghimob, les pirates informatiques suivent la tendance plus large des cybercriminels brésiliens à étendre leurs opérations du niveau local au niveau mondial. En tant que tel, Ghimob est équipé de fonctionnalités permettant de collecter des informations d'identification, un total de 152 applications mobiles différentes appartenant à des banques, des sociétés de technologie financière, des bourses et, récemment, des crypto-monnaies d'un large éventail de pays. Si la majorité des applications ciblées, 112 pour être précis, proviennent toujours du Brésil, cela peut affecter 13 applications de crypto-monnaie et neuf systèmes de paiement de différents pays. En outre, il peut créer des pages de connexion de phishing pour cinq applications bancaires allemandes, trois applications portugaises, deux du Pérou et du Paraguay et une application d'Angola et du Mozambique chacune.

Bien que l'objectif principal de Ghimob Malware soit de voler les informations d'identification et les coordonnées bancaires, il a les capacités d'une menace de logiciel espion à part entière. Il collecte et exfiltre diverses données système de l'appareil, y compris le modèle de téléphone, s'il y a un verrouillage d'écran actif, et une liste de toutes les applications installées dessus. En abusant des privilèges du mode d'accessibilité qu'il demande, Ghimob est en mesure d'obtenir la persistance sur l'appareil et d'empêcher toute tentative de désinstallation manuelle.

Les pirates ont un contrôle quasi-complet sur les appareils compromis. Ils peuvent exécuter des transactions via les applications bancaires installées tout en masquant leur action par divers moyens, tels que l'affichage d'une superposition d'écran noir ou l'ouverture d'un site Web. La menace peut également enregistrer le schéma de verrouillage d'écran de l'appareil et le rejouer sur commande.

Le vecteur d'infection se fait par le biais d'e-mails de phishing conçus pour apparaître comme s'ils étaient envoyés par une institution financière ou un créancier. Les utilisateurs sont encouragés à cliquer sur des liens qui les mènent vers des sites Web créés par des pirates. Là, le malware est distribué sous le couvert d'autres applications légitimes - Google Defender, Google Docs, WhatsApp Updater, etc.

Le Ghimob Malware a plusieurs contre-mesures anti-analyse dans le cadre de son arsenal. Avant de lancer ses opérations à grande échelle, la menace vérifie le périphérique mobile infecté pour les émulateurs communs, tous les débogueurs potentiellement liés à son fichier manifeste de processeur et un éventuel indicateur de débogage. Si l'une des vérifications renvoie un résultat positif, le malware met fin à son exécution.

Tendance

Le plus regardé

Chargement...