Οι ερευνητές ασφαλείας ανακάλυψαν ένα νέο banking trojan Android που μπορεί να κατασκοπεύσει και να κλέψει δεδομένα από 153 εφαρμογές Android. Με την ονομασία Ghimob, το trojan πιστεύεται ότι αναπτύχθηκε από την ίδια ομάδα που βρίσκεται πίσω από το Windows malware Astaroth (Guildma), σύμφωνα με έκθεση που δημοσιεύθηκε τη Δευτέρα από την εταιρεία ασφαλείας Kaspersky.
Η Kaspersky λέει ότι το νέο Android trojan έχει προσφερθεί για λήψη μέσα σε κακόβουλες εφαρμογές Android σε ιστότοπους και servers που χρησιμοποιούνταν προηγουμένως από τη λειτουργία Astaroth (Guildama).
Το distribution δεν πραγματοποιήθηκε ποτέ μέσω του επίσημου Play Store.
Αντ ‘αυτού, η ομάδα του Ghimob χρησιμοποίησε email ή κακόβουλους ιστότοπους για να ανακατευθύνει τους χρήστες σε ιστότοπους που προωθούν τις εφαρμογές Android.
Αυτές οι εφαρμογές μιμήθηκαν επίσημες εφαρμογές και brands, με ονόματα όπως το Google Defender, το Google Docs, το WhatsApp Updater ή το Flash Update. Εάν οι χρήστες ήταν αρκετά απρόσεκτοι και τελικά εγκαθιστούσαν τις εφαρμογές παρά τις προειδοποιήσεις που εμφανίζονται στις συσκευές τους, οι κακόβουλες εφαρμογές θα ζητούσαν πρόσβαση στην υπηρεσία προσβασιμότητας ως τελικό βήμα στη διαδικασία μόλυνσης.
Εάν αυτό γινόταν, το malware θα έψαχνε κάποια από τις 153 εφαρμογές στο μολυσμένο τηλέφωνο και θα εμφάνιζε μια ψεύτικη σελίδα σύνδεσης προσπαθώντας να κλέψει τα credentials του χρήστη.
Το malware συνήθως είχε ως στόχο τις τράπεζες της Βραζιλίας, αλλά σε πρόσφατα ενημερωμένες εκδόσεις, η Kaspersky δήλωσε ότι το Ghimob επέκτεινε επίσης τις δυνατότητες του για να αρχίσει να στοχεύει τράπεζες στη Γερμανία (πέντε εφαρμογές), την Πορτογαλία (τρεις εφαρμογές), το Περού (δύο εφαρμογές), την Παραγουάη (δύο εφαρμογές), την Αγκόλα και την Μοζαμβίκη (μία εφαρμογή ανά χώρα).
Επιπλέον, το Ghimob πρόσθεσε επίσης μια ενημέρωση για τη στόχευση εφαρμογών ανταλλαγής cryptocurrency προσπαθώντας να αποκτήσει πρόσβαση σε λογαριασμούς cryptocurrency, με το Ghimob να ακολουθεί μια γενική τάση στη σκηνή του Android malware η οποία μετατοπίστηκε με αργούς ρυθμούς στους κατόχους των cryptocurrency.
Μετά την επιτυχή προσπάθεια ηλεκτρονικού ψαρέματος (phishing), όλα τα credentials που συλλέχθηκαν στάλθηκαν πίσω στη συμμορία Ghimob, η οποία στη συνέχεια είχε πρόσβαση στους λογαριασμούς των θυμάτων και ξεκινούσε παράνομες συναλλαγές.
Εάν οι λογαριασμοί προστατεύονταν από αυστηρά μέτρα ασφαλείας, η συμμορία του Ghimob χρησιμοποιούσε τον πλήρη έλεγχο της στη συσκευή (μέσω της υπηρεσίας προσβασιμότητας) για να απαντήσει σε τυχόν ελέγχους ασφαλείας και προτροπές που εμφανίζονται στο επιτιθέμενο smartphone.
Οι δυνατότητες του Ghimob δεν είναι μοναδικές, αλλά στην πραγματικότητα αντιγράφουν τη σύνθεση άλλων banking trojans Android, όπως το BlackRock ή το Alien.
Η Kaspersky σημείωσε ότι η ανάπτυξη του Ghimob αντηχεί σήμερα μια παγκόσμια τάση στην αγορά κακόβουλων προγραμμάτων της Βραζιλίας, με τις πολύ ενεργές τοπικές συμμορίες κακόβουλων προγραμμάτων να προσπαθούν να στοχεύσουν θύματα και σε χώρες του εξωτερικού.
,){kind=link}