Исследователи Kaspersky обнаружили, что новый троян для удаленного доступа под названием Ghimob нацелен на финансовые приложения для Android из банков, финансовых технологий, бирж и криптовалют в Бразилии, Парагвае, Перу, Португалии, Германии, Анголе и Мозамбике. Сообщается, что этот троянец был развернут бразильской группой угроз Guildma – участником семейства банковских троянцев Tetrade – которая также стояла за недавним вредоносным ПО Astaroth для Windows. После развертывания троянца на Android-смартфоне хакер может получить удаленный доступ к зараженному устройству, совершая мошенническую транзакцию со смартфоном жертвы без согласия.
Касперский обнаружил троян Ghimob (в частности, семейство троянцев Trojan-Banker.AndroidOS.Ghimob) во время расследования другой вредоносной кампании. Троянец распространяется по электронной почте, которая выдает себя за кредитора и предоставляет ссылку, по которой получатель может просмотреть дополнительную информацию, а
само приложение выдает себя за Google Defender, Google Docs, WhatsApp Updater и т. д. Если получатель попадает в ловушку мошенничества и щелкает ссылку в браузере на базе Android, установщик Ghimob APK загружается на его смартфоны.
После завершения заражения вредоносная программа отправляет сообщение хакеру. Сюда входит модель телефона, активирована ли у него блокировка экрана, а также список всех установленных приложений, которые вредоносное ПО является целью, включая номера версий. По словам Касперского, Гимоб шпионит за 153 мобильными приложениями, в основном из банков, финансовых технологий, криптовалют и бирж. В отчете говорится, что это включает около 112 приложений от учреждений в Бразилии, 13 приложений для криптовалюты из разных стран, девять международных платежных систем, пять банковских приложений в Германии, три банковских приложения в Португалии, два приложения в Перу, два в Парагвае и одно приложение. каждый из Анголы и Мозамбика.
С помощью Ghimob хакер может получить удаленный доступ к зараженному устройству, завершив мошенническую транзакцию со смартфоном жертвы, чтобы избежать идентификации машины, мер безопасности, принимаемых финансовыми учреждениями, и всех их систем поведения для защиты от мошенничества. Хакер также может обойти блокировку экрана, записав ее, а затем воспроизведя, чтобы разблокировать устройство. «Когда киберпреступник готов выполнить транзакцию, он может вставить черный экран в качестве наложения или открыть какой-либо веб-сайт в полноэкранном режиме, поэтому, пока пользователь смотрит на этот экран, преступник выполняет транзакцию в фоновом режиме с помощью финансового приложения. запускается на смартфоне жертвы, который пользователь открыл или в который вошел », – объясняют исследователи Kaspersky.
Ghimob пытается скрыть свое присутствие, скрывая значок из панели приложений. Вредоносная программа также блокирует удаление, перезапуск или выключение телефона пользователем. Касперский предупреждает: «Ghimob – первый бразильский троян для мобильного банкинга, готовый к расширению и нацеливанию на финансовые учреждения и их клиентов, живущих в других странах. Наши результаты телеметрии подтвердили наличие жертв в Бразилии, но, как мы видели, троян хорошо подготовлен для кражи учетных данных банков, финансовых технологий, бирж, криптобирж и кредитных карт финансовых учреждений, работающих во многих странах, поэтому он, естественно, будет международным расширение ».
«Лаборатория Касперского» предупреждает финансовые учреждения, что они должны отличаться от Ghimob и улучшать процессы аутентификации, развивать технологии защиты от мошенничества и данные об угрозах.
Должно ли правительство объяснять, почему китайские приложения были запрещены? Мы обсуждали это в нашем еженедельном технологическом подкасте Orbital, на который вы можете подписаться через Подкасты Apple, Подкасты Google, или RSS, скачать эпизод, или просто нажмите кнопку воспроизведения ниже.
.
Добавить комментарий