El troyano de banca móvil Ghimob dirigido a aplicaciones financieras y de expansión internacional ofrece acceso remoto a hackers
El nuevo troyano de acceso remoto (RAT) llamado Ghimob ha estado apuntando a aplicaciones financieras de Android de bancos, fintechs, intercambios de criptomonedas en Brasil, Paraguay, Perú, Portugal, Alemania, Angola y Mozambique, según afirmaron los investigadores de seguridad de Kaspersky, un proveedor multinacional de ciberseguridad y antivirus con sede en Moscú.
Se dice que este troyano fue implementado por un grupo de amenazas con sede en Brasil, Guildma, un actor que forma parte de la familia Tetrade de troyanos bancarios, que también estuvo detrás del reciente malware Astaroth para Windows.
Kaspersky descubrió el troyano Ghimob mientras investigaba otra campaña de malware. El troyano se transmite por correo electrónico que pretende ser de un acreedor y proporciona un enlace donde el destinatario puede ver más información, mientras que la propia aplicación pretende ser Google Defender, Google Docs, WhatsApp Updater, etc.
Si el usuario hace clic en este enlace, verá una serie de protocolos de seguridad que parecen legítimos al principio, pero mientras todo esto sucede, el troyano ya se habrá instalado en su dispositivo. Una vez que se completa la infección, el malware procede a enviar un mensaje al hacker. Esto incluye el modelo de teléfono, si tiene el bloqueo de pantalla activado y una lista de todas las aplicaciones instaladas que el malware tiene como objetivo, incluidos los números de versión.
“Cuando el ciberdelincuente está listo para realizar la transacción, puede insertar una pantalla negra como una superposición o abrir algún sitio web en pantalla completa, de modo que mientras el usuario mira esa pantalla, el delincuente realiza la transacción en segundo plano utilizando la aplicación financiera ejecutándose en el teléfono inteligente de la víctima que el usuario ha abierto o en el que ha iniciado sesión ”, explican los investigadores de Kaspersky.
Kaspersky afirmó que Ghimob espía 153 aplicaciones móviles, principalmente de bancos, fintech, criptomonedas e intercambios. El informe dice que esto incluye alrededor de 112 aplicaciones de instituciones en Brasil, 13 aplicaciones de criptomonedas de diferentes países, 9 sistemas de pago internacionales, 5 aplicaciones bancarias en Alemania, 3 aplicaciones bancarias en Portugal, 2 aplicaciones en Perú, 2 en Paraguay y 1 aplicación de Angola y Mozambique también.
Ghimob intenta ocultar su presencia ocultando el icono del cajón de la aplicación. El malware también impide que el usuario lo desinstale, reinicie o apague el teléfono. Kaspersky advierte: “Ghimob es el primer troyano bancario móvil brasileño listo para expandirse y dirigirse a instituciones financieras y sus clientes que viven en otros países. Nuestros hallazgos de telemetría han confirmado víctimas en Brasil, pero como vimos, el troyano está bien preparado para robar credenciales de bancos, fintechs, intercambios, intercambios de cifrado y tarjetas de crédito de instituciones financieras que operan en muchos países, por lo que, naturalmente, será una expansión internacional.”
Para mantenerse a salvo de las amenazas bancarias y de este troyano de acceso remoto (RAT), Kaspersky recomienda tomar las siguientes medidas de seguridad:
- Proporcionar a su equipo de SOC (centro de operaciones de seguridad) acceso a la inteligencia de amenazas (TI) más reciente.
- Educar a sus clientes sobre los posibles trucos que pueden utilizar los malhechores, enviándoles periódicamente información sobre cómo identificar el fraude y comportarse en esta situación.
- Implementar una solución antifraude, que puede proteger el canal móvil de sucesos cuando los atacantes utilizan un control remoto para realizar una transacción fraudulenta. Para protección, la solución puede detectar malware RAT en el dispositivo e identificar señales de control remoto a través de software legal.
Add Comment