Monitoruj?c kampani? wymierzon? w urz?dzenia z systemem Windows, w której wykorzystywano szkodliwe oprogramowanie bankowe Guildma, badacze z firmy Kaspersky wykryli adresy URL rozprzestrzeniaj?ce nie tylko zainfekowane archiwum ZIP dla Windowsa, ale równie? szkodliwy modu? instaluj?cy nowego trojana bankowego Ghimob dla Androida. Infiltracja systemowych funkcji u?atwie? dost?pu umo?liwia trojanowi przetrwanie w systemie, przechwytywanie danych, manipulowanie zawarto?ci? ekranu oraz przekazywanie steruj?cym nim cyberprzest?pcom pe?nej zdalnej kontroli. Wed?ug ekspertów twórcy tego trojana zdalnego dost?pu koncentruj? si? g?ównie na u?ytkownikach w Brazylii, jednak posiadaj? równie? powa?ne plany globalnej ekspansji. Opisywana kampania nadal jest aktywna.
Guildma to seria szkodliwych programów, za którym stoi brazylijski cybergang Tetrade, znany ze skalowalnych szkodliwych dzia?a? zarówno w Ameryce ?aci?skiej, jak i innych cz??ciach ?wiata, który aktywnie pracuje nad nowymi technikami, tworz?c szkodliwe oprogramowanie i atakuj?c nowe ofiary.
Jego nowe „dzie?o” – mobilny trojan bankowy Ghimob dla Androida – nak?ania ofiary do zainstalowania szkodliwego pliku poprzez wiadomo?? e-mail, z której wynika, ?e jej odbiorca ma jakie? d?ugi. Aby pozna? wi?cej szczegó?ów, nale?y klikn?? zawarty w e-mailu odsy?acz. Po zainstalowaniu szkodnik wysy?a do swojego serwera wiadomo?? o tym, ?e urz?dzenie zosta?o zainfekowane, podaj?c takie informacje jak model telefonu, czy urz?dzenie posiada blokad? ekranu, jak równie? list? wszystkich zainstalowanych aplikacji, które mog? stanowi? cel ataku. Ghimob mo?e ??cznie szpiegowa? 153 aplikacje mobilne, g?ównie bankowe i finansowe oraz zwi?zane z kryptowalutami i gie?dami.
Pod wzgl?dem funkcjonalno?ci Ghimob stanowi szpiega w kieszeni swojej ofiary. Jego twórcy mog? uzyska? zdalny dost?p do zainfekowanego urz?dzenia, dokona? oszustwa przy u?yciu smartfona w?a?ciciela oraz obchodzi? stosowane przez instytucje finansowe ?rodki bezpiecze?stwa, ??cznie z opartymi na zachowaniu systemami ochrony przed oszustwami. Nawet je?li u?ytkownik stosuje wzór odblokowuj?cy ekran smartfonu, Ghimob potrafi go zarejestrowa? i odtworzy? w celu odblokowania urz?dzenia. Gdy twórcy Ghimoba s? gotowi wykona? oszuka?cz? transakcj?, mog? wy?wietli? w?asn? nak?adk? ekranu lub otworzy? kilka stron internetowych w trybie pe?noekranowym. Gdy u?ytkownik patrzy na ten ekran, atakuj?cy w tle przeprowadzaj? transakcj?, wykorzystuj?c aplikacj? finansow?, która zosta?a wcze?niej otwarta lub do której zalogowano si? na urz?dzeniu.
Ze statystyk firmy Kaspersky wynika, ?e poza Brazyli? cele trojana Ghimob znajduj? si? w Paragwaju, Peru, Portugalii, Niemczech, Angoli oraz Mozambiku.
Cyberprzest?pcy z Ameryki ?aci?skiej od dawna próbuj? stworzy? mobilnego trojana bankowego o ?wiatowym zasi?gu. Najpierw pojawi? si? Basbanke, nast?pnie Brata, jednak oba by?y w du?ym stopniu ukierunkowane na rynek brazylijski. Ghimob to tak naprawd? pierwszy brazylijski mobilny trojan bankowy, który jest gotowy na ekspansj? mi?dzynarodow?. Uwa?amy, ?e ta nowa kampania mo?e by? powi?zana z ugrupowaniem cyberprzest?pczym, które stoi za znanym brazylijskim trojanem bankowym Guildma. Przemawia za tym wiele czynników, g?ównie to, ?e oba szkodniki wykorzystuj? t? sam? infrastruktur?. Zalecamy instytucjom finansowym, aby uwa?nie ?ledzi?y te zagro?enia, jednocze?nie usprawniaj?c swoje procesy uwierzytelniania i udoskonalaj?c technologi? ochrony przed oszustwami oraz dane analizy zagro?e?. Dobrze jest równie? pozna? i ?agodzi? ryzyko zwi?zane z t? now? rodzin? mobilnych szkodliwych programów – powiedzia? Fabio Assolini, ekspert ds. cyberbezpiecze?stwa z firmy Kaspersky.
