Cavalo de Troia bancário brasileiro pode espionar mais de 150 aplicativos financeiros. Malware Ghimob começou no Brasil, mas está se espalhando.
Segundo a Kaspersky, um cavalo de Tróia bancário recentemente descoberto visando dispositivos Android pode espionar mais de 150 aplicativos, incluindo os de bancos, criptomoedas e empresas de fintech, como uma forma de coletar credenciais e outros dados.
Este malware, apelidado de Ghimob, que foi desenvolvido por fraudadores no Brasil e atualmente está em uso lá, também tem como alvo aplicativos associados a bancos e seus clientes na Alemanha, Portugal, Peru, Paraguai, Angola e Moçambique, de acordo com o relatório.
O Trojan parece estar ligado a várias outras variantes de malware desenvolvidas pelo mesmo grupo cibercriminoso brasileiro, relata a Kaspersky. Esses cavalos de Tróia bancários são conhecidos coletivamente como Tétrade, um termo abrangente para quatro cepas distintas de malware: Guildma, Javali, Melcoz e Grandoreiro.
Segundo o site Bank Info Security, desde 2011, os operadores por trás da família de cavalos de Troia Tétrade têm como alvo principalmente instituições financeiras no Brasil. Nos últimos meses, no entanto, os fraudadores começaram a se expandir globalmente, fazendo a reengenharia do malware para escapar das ferramentas de segurança.
“Os cibercriminosos brasileiros são muito ativos e estão criando novos cavalos de Troia bancários para plataformas de desktop e móveis“, disse Fabio Assolini, especialista em segurança da Kaspersky, ao Information Security Media Group. “No momento, eles estão se movendo para expandir seus ataques para o exterior, e Ghimob é um passo importante nesse movimento.“
Trojan fresco
O Bank Info Security relata que os pesquisadores da Kaspersky encontraram o Trojan Ghimob pela primeira vez em agosto, enquanto examinavam uma campanha do Windows relacionada a outra cepa de malware que circulava no Brasil.
“Acreditamos que essa campanha possa estar relacionada ao ator da ameaça Guildma [cavalo de Troia bancário brasileiro] por vários motivos, mas principalmente porque eles compartilham a mesma infraestrutura”, segundo o relatório. “Também é importante notar que o protocolo usado na versão móvel é muito semelhante ao usado na versão Windows.“
Ao contrário de outros tipos de malware com foco no Android, o cavalo de Troia Ghimob não se disfarça como um aplicativo legítimo que está oculto na Google Play Store oficial. Em vez disso, os fraudadores tentam fazer com que as vítimas instalem um arquivo malicioso por meio de um e-mail de phishing ou spam que sugere que o destinatário tem algum tipo de dívida, de acordo com o relatório. A mensagem inclui um link “informativo” para a vítima clicar, que inicia a entrega do malware.
O link malicioso costuma ser disfarçado para aparecer como Google Defender, Google Doc ou WhatsApp Updater, de acordo com o relatório. Se aberto, ele instala o Trojan Ghimob dentro do dispositivo. A primeira etapa do malware é verificar se há emuladores ou depuradores que, se encontrados, são encerrados.
Se não houver ferramentas de segurança presentes no dispositivo Android comprometido, Ghimob se conecta a um servidor de comando e controle e começa a enviar detalhes como o modelo do telefone, se o dispositivo tem tela de bloqueio de segurança e uma lista de todos os aplicativos instalados que o malware pode visar, de acordo com o relatório.
Então, o Trojan, que é conhecido por sua capacidade de coletar credenciais e uma ampla gama de outros dados, pode atingir até 150 aplicativos bancários e financeiros, a maioria dos quais usados no Brasil. O relatório da Kaspersky observa que a lista de aplicativos direcionados provavelmente se expandirá à medida que as ambições dos fraudadores aumentam.
“Mesmo se o usuário usar um padrão de tela de bloqueio, Ghimob é capaz de gravá-lo e reproduzi-lo para desbloquear o dispositivo”, de acordo com Kaspersky. “Quando os atores estão prontos para realizar uma transação fraudulenta, eles podem inserir uma sobreposição de tela em branco ou preta ou abrir alguns sites em tela cheia. Em seguida, enquanto o usuário olha para a tela, os invasores realizam a transação fraudulenta em segundo plano, usando o aplicativo financeiro já aberto ou conectado em execução no dispositivo. “
Evitando detecção
O relatório da Kaspersky também observa que o Ghimob pode impedir que um usuário tente desinstalar o Trojan. O malware também pode desligar e reiniciar um dispositivo.
O malware usa algoritmos de geração de domínio como uma forma de disfarçar seu endereço IP de comando e controle para ajudar a escapar das ferramentas de segurança, de acordo com o relatório.
Fonte: Bank Info Security
Veja também:
- Fresh Malware visa usuários do Mercado Livre e sites de comércio eletrônico na América Latina
- O que a presidência de Joe Biden significa para a segurança cibernética
- A LGPD e o mito do advogado que entende de dados
- Falta de privacidade mata mais que terrorismo
- TSE admite ataque hacker neste domingo de eleições
- Malware oculto em tráfego criptografado aumenta 260% durante pandemia
- Ferramentas de PenTest/Red Team que todos deviam conhecer!
- O que é um APT – Advanced Persistent Threat?
- Possíveis falhas no caso do Ransomware do STJ
- Enel vaza dados de CPF e dados bancários dados de 300 mil clientes
- Uma carreira em segurança cibernética: é para você?
- Idec aponta preocupação com privacidade em novo marketplace do Fleury
Deixe sua opinião!