Durante il monitoraggio di una campagna Windows del malware bancario Guildma, i ricercatori di Kaspersky hanno trovato alcune URL che, oltre a distribuire un file .ZIP dannoso per Windows, distribuivano un downloader per installare Ghimob, un nuovo Trojan bancario.
Ghimob si infiltra all’interno dell’Accessibility Mode, ed è in grado di guadagnare la persistenza e disabilitare la disinstallazione manuale, catturare i dati, manipolare il contenuto dello schermo e fornire un controllo da remoto completo ai threat actor.
Secondo gli esperti, gli sviluppatori di questo Remote Access Trojan (RAT) molto tipico, mirano agli utenti che vivono in Brasile, ma hanno grandi progetti di espansione in tutto il mondo. La campagna risulta ancora attiva.
Guildma, un threat actor che fa parte della famigerata serie Tétrade, nota per le sue attività malevole scalabili sia in America Latina che in altre parti del mondo, ha lavorato attivamente a nuove tecniche, sviluppando malware e prendendo di mira nuove vittime.
Come funziona il Trojan bancario Ghimob
La nuova creazione di questo gruppo criminale – il Trojan bancario Ghimob – installa il file malevolo servendosi di un’e-mail che comunica all’utente di avere un debito. L’e-mail include anche un link su cui cliccare per avere maggiori informazioni.
Una volta installato il RAT, il malware invia un messaggio al server per comunicare l’avvenuta infezione. Il messaggio include il modello di telefono, se è dotato di lock screen di sicurezza e un elenco di tutte le applicazioni installate che il malware può prendere di mira. In totale, Ghimob può spiare 153 applicazioni mobile tra cui quelle legate a banche, aziende fintech, criptovalute e borse.
Ghimob può essere definito una spia nella tasca della vittima. Gli sviluppatori possono accedere da remoto al dispositivo infetto e portare a termine le frodi usando lo smartphone della vittima evitando così di essere identificato dalla macchina e sfuggendo a tutte le misure di sicurezza messe in atto dalle istituzioni finanziarie e da tutti i loro sistemi comportamentali antifrode.
Anche se l’utente utilizza uno schema di lock screen, Ghimob è in grado di registrarlo e riprodurlo per sbloccare il dispositivo. Nel momento in cui gli sviluppatori sono pronti a eseguire una transazione fraudolenta, possono inserire una sovrapposizione dello schermo nero o aprire alcuni siti web a schermo intero.
Mentre l’utente guarda quella schermata, gli sviluppatori eseguono la transazione fraudolenta in background, utilizzando l’applicazione finanziaria già aperta o connessa in esecuzione sul dispositivo.
Non solo il Brasile è sotto attacco
Dalle statistiche di Kaspersky è emerso che oltre al Brasile, gli obiettivi di Ghimob si trovano in Paraguay, Perù, Portogallo, Germania, Angola e Mozambico.
Come sottolineato in una nota ufficiale da Fabio Assolini, security expert di Kaspersky: «La volontà dei cybercriminali latinoamericani di avere un Trojan per il mobile banking che abbia una portata mondiale fa parte di una lunga storia. Abbiamo già avuto modo di osservare Basbanke e BRata, anche se entrambi erano fortemente concentrati sul mercato brasiliano. Ghimob è, invece, il primo mobile banking Trojan brasiliano pronto per l’espansione a livello internazionale. Per svariati motivi, crediamo che questa nuova campagna possa essere collegata al threat actor Guildma, responsabile di un noto Trojan bancario brasiliano. Il motivo principale è il fatto che condividono la stessa infrastruttura. Raccomandiamo alle istituzioni finanziarie di osservare attentamente queste minacce e di migliorare i processi di autenticazione, potenziando la tecnologia antifrode e i dati di threat intelligence, e cercando di comprendere e mitigare tutti i rischi di questa nuova famiglia di RAT per mobile».
Per proteggersi da RAT e minacce rivolte al settore bancario, Kaspersky raccomanda di:
- Fornire al team SOC l’accesso alla threat intelligence (TI) più recente. Il Kaspersky Threat Intelligence Portal consente l’accesso alla TI dell’azienda e fornisce dati sui cyber attacchi e gli insight raccolti da Kaspersky in oltre 20 anni di esperienza nel settore.
- Educare i clienti sulle possibili strategie che i criminali informatici possono utilizzare. Inviare informazioni su come identificare le frodi e su come comportarsi in situazioni simili.
- Implementare una soluzione antifrode come Kaspersky Fraud Prevention. Questa soluzione è in grado di proteggere il canale mobile dal controllo da remoto da parte degli attaccanti che intendono portare a termine transazioni fraudolente. La soluzione è in grado di rilevare sia il malware RAT sul dispositivo che i segnali di controllo remoto tramite software legale.