Исследователи «Лаборатории Касперского» предупреждают, что бразильская малварь выходит не только за пределы страны, но и на новый уровень: теперь она атакует и мобильные устройства. Так, в семействе бразильских банковских троянов Guildma появился новый вредонос Ghimob. С его помощью атакующие шпионят за своими жертвами, расположенными в том числе в Парагвае, Перу, Португалии, Германии, Анголе и Мозамбике.

Распространяется малварь через вредоносные письма, якобы сообщающие о долге, который числится за адресатом. Получателю предлагается пройти по ссылке, чтобы узнать о проблеме больше. Если пользователь нажимает на ссылку, в систему загружается троян удаленного доступа.

Вредоносное письмо

Исследователи обнаружили ссылки, используемые одновременно для распространения как ZIP-файлов для Windows, так и APK-файлов для мобильных девайсов. Если при нажатии на вредоносную ссылку user agent будет определен как браузер в системе Android, то по ссылке загрузится APK-файл инсталлятора Ghimob. Распространяемые таким образом APK-пакеты маскируются под установщики популярных приложений; они не представлены в Google Play, а размещены на нескольких доменах, зарегистрированных операторами малвари.

После успешной установки малварь передает на управляющий сервер информацию о модели зараженного мобильного устройства, о том, есть ли на нем настройки блокировки экрана, а также список приложений.

По данным экспертов, Ghimob может шпионить за 153 мобильными приложениями, в основном принадлежащими банкам, финтех-компаниям, криптовалютным биржам. Троян умеет избегать ручного отключения, собирать данные, манипулировать тем, что изображено на экране, и предоставлять злоумышленникам возможность полностью контролировать устройство с помощью инструментов удаленного доступа.

Ghimob может скрываться от защитных систем, внедряемых финансовыми организациями, и разблокировать экран устройства, так как обладает функцией записи и воспроизведения действий пользователя, в том числе связанных с вводом пароля. Для проведения мошеннической транзакции злоумышленники могут принудительно выключить экран устройства или воспользоваться уже открытым финансовым приложением в фоне, пока человек видит на экране другое приложение.

С технической точки зрения Ghimob интересен тем, что он использует запасные командные серверы, защищенные Cloudflare, скрывает свой настоящий командный сервер с помощью DGA. Тем не менее, пока исследователи не обнаружили никаких признаков коммерческого использования этого вредоносного ПО по схеме MaaS («вредоносное ПО как услуга»).

Отмечается, что по сравнению с BRATA или Basbanke (еще одним бразильским семейством мобильных банковских троянов), Ghimob является намного более продвинутым, обладает расширенным набором функций и основательнее закрепляется на целевых устройствах.

«Желание латиноамериканских злоумышленников распространить мобильные банковские троянцы по всему миру имеет долгую историю. Мы уже видели Basbanke, BRata, но они фокусировались на бразильском рынке. Ghimob — первый мобильный банковский троянец бразильского происхождения, готовый к международному распространению. Мы полагаем, что этот зловред относится к семейству Guildma по нескольким причинам, но главным образом потому, что они используют одну и ту же инфраструктуру. Мы рекомендуем финансовым организациям пристально следить за этими угрозами и одновременно улучшать процессы аутентификации, внедрять технологии борьбы с мошенничеством и использовать аналитические данные об угрозах, чтобы снизить вероятность успешных атак этого мобильного банковского троянца», — комментирует Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».

Оставить мнение