Le trojan Ghimob cible 153 applications mobiles sur Android

Un nouveau cheval de Troie bancaire nommé Ghimob a été découvert et cible les utilisateurs d’Android. Ce malware a la capacité d’espionner 153 applications mobiles de diverses banques, crypto-monnaies et bourses.

Les chercheurs décrivent le cheval de Troie bancaire Ghimob, comme un «espion à part entière dans votre poche» auquel ses opérateurs peuvent accéder à distance. Les cybercriminels peuvent utiliser le cheval de Troie pour contourner les mesures de sécurité et anti-fraude des institutions financières, afin d’effectuer des transactions frauduleuses sur les smartphones de la victime.

La télémétrie de Kaspersky montre que toutes les victimes du cheval de Troie de banque mobile Ghimob se trouvent actuellement au Brésil. Cependant, comme certaines des applications ciblées sont basées en dehors du Brésil, ils pensent que Ghimob a de grands projets d’expansion à l’étranger – notamment en Angola, en Allemagne, au Mozambique, au Paraguay, au Pérou et au Portugal.

rançongiciel

Parmi les 153 applications ciblées par Ghimob, 112 se trouvent au Brésil.

« Ghimob est le premier cheval de Troie brésilien prêt à cibler les institutions financières et leurs clients vivant dans d’autres pays », ont déclaré des chercheurs de Kaspersky dans une analyse. «Nos résultats de télémétrie ont confirmé des victimes au Brésil, mais comme nous l’avons vu, le cheval de Troie est bien préparé à voler les informations d’identification des banques, des fintechs, des échanges, des crypto-échanges et des cartes de crédit des institutions financières opérant dans de nombreux pays, donc ce sera naturellement une expansion internationale. »

Processus d’attaque de Ghimob

Les victimes de Ghimob sont d’abord persuadées d’installer un fichier malveillant via un e-mail rédigé en portugais brésilien. Cet e-mail prétend provenir d’un créancier et fournit un lien permettant au destinataire d’afficher plus d’informations. Le lien mène à une application, qui prétend être divers outils légitimes, tels que Google Defender, Google Docs ou WhatsApp Updater.

Dès que le cheval de Troie est installé et lancé, il tente d’abord de détecter d’éventuels émulateurs ou débogueurs. S’il y en a, le malware s’arrête.

«Les nouvelles versions du malware ont déplacé les noms de l’émulateur vers un fichier de configuration chiffré», ont déclaré les chercheurs. « Si ces vérifications précédentes sont réussies, l’utilisateur se voit alors présenter la fenêtre d’accessibilité par défaut d’Android, car le logiciel malveillant dépend fortement de l’accessibilité pour fonctionner. »

Le logiciel malveillant renvoie ensuite un message au serveur de commande et de contrôle (C2) contenant les données du téléphone des victimes, y compris le modèle, s’il a un verrouillage d’écran activé et une liste de toutes les applications ciblées qui sont installées sur le téléphone ( y compris leurs numéros de version).

Capacités du malware

Ghimob dispose de capacités d’enregistrement d’écran lui permettant d’enregistrer lorsqu’un utilisateur entre son schéma de verrouillage d’écran, et de le refaire plus tard pour déverrouiller l’appareil. Il peut également empêcher l’utilisateur de le désinstaller, de redémarrer ou d’arrêter l’appareil.

Il repose également sur une tactique d’écran de superposition courante utilisée par les chevaux de Troie bancaires mobiles Android pour éviter la détection, où le cybercriminel peut insérer un écran noir en superposition ou ouvrir un site Web en plein écran. Pendant que l’utilisateur regarde cet écran de superposition, en arrière-plan, l’attaque effectue la transaction en utilisant une application financière exécutée sur le smartphone de la victime.

Une fois téléchargée, l’application peut alors cibler diverses applications sur le smartphone des victimes pour effectuer des transactions frauduleuses.

Enfin, «d’un point de vue technique, Ghimob est également intéressant car il utilise des serveurs de commande-et-contrôle (C2) protégé par Cloudflare, cache son vrai C2 avec DGA et emploie plusieurs autres astuces, se faisant passer pour un concurrent de poids dans ce domaine», notent les chercheurs. « Comparé à BRATA ou Basbanke, une autre famille de chevaux de Troie de services bancaires mobiles originaire du Brésil, Ghimob est beaucoup plus avancé et plus riche en fonctionnalités, et a une forte persistance. »

Les liens avec Guildma

Les chercheurs ont lié cette campagne d’infection à Guildma, un cheval de Troie bancaire brésilien bien connu, principalement en raison du fait que les deux partagent la même infrastructure.

«Il est également important de noter que le protocole utilisé dans la version mobile est très similaire à celui utilisé pour la version Windows», ont déclaré les chercheurs.

ghimob

Guildma est un malware qui fait partie de la famille Tetrade des chevaux de Troie bancaires, la désignation de Kaspersky pour les quatre grandes familles de chevaux de Troie bancaires créées, développées et diffusées par des escrocs brésiliens. Ghimob montre que Guildma a travaillé sur l’introduction de nouvelles techniques, la création de nouveaux logiciels malveillants et le ciblage de nouvelles victimes, ont déclaré des chercheurs.

À l’avenir, les chercheurs recommandent aux institutions financières de surveiller ces menaces de près. Ils suggèrent également de prendre des mesures telles que «l’amélioration de leurs processus d’authentification, le renforcement de la technologie anti-fraude et des données sur les menaces, et d’essayer de comprendre et d’atténuer tous les risques que cette nouvelle famille de RAT mobile pose».

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x