Quatre mois après que les chercheurs en sécurité ont découvert une «tétrade» de quatre chevaux de Troie bancaires brésiliens ciblant des institutions financières au Brésil, en Amérique latine et en Europe, de nouvelles découvertes montrent que les criminels derrière l’opération ont élargi leurs tactiques pour infecter les appareils mobiles avec des logiciels espions.
Selon l’équipe mondiale de recherche et d’analyse de Kaspersky (GReAT), le groupe de menaces basé au Brésil Guildma s’est déployé « Ghimob», un cheval de Troie bancaire Android ciblant les applications financières des banques, des sociétés de technologie financière, des bourses et des crypto-monnaies au Brésil, au Paraguay, au Pérou, au Portugal, en Allemagne, en Angola et au Mozambique.
« Ghimob est un espion à part entière dans votre poche: une fois l’infection terminée, le pirate informatique peut accéder à distance à l’appareil infecté, en effectuant la transaction frauduleuse avec le smartphone de la victime, afin d’éviter l’identification de la machine, les mesures de sécurité mises en œuvre par les institutions financières et tous leurs systèmes comportementaux anti-fraude », a déclaré la société de cybersécurité dans une analyse lundi.
En plus de partager la même infrastructure que celle de Guildma, Ghimob continue d’utiliser les e-mails de phishing comme mécanisme de distribution du malware, incitant les utilisateurs sans méfiance à cliquer sur des URL malveillantes qui téléchargent le programme d’installation de Ghimob APK.
Le cheval de Troie, une fois installé sur l’appareil, fonctionne de manière très similaire aux autres RAT mobiles en ce sens qu’il masque sa présence en cachant l’icône du tiroir de l’application et en abuse d’Android. fonctionnalités d’accessibilité pour gagner en persistance, désactivez la désinstallation manuelle et autorisez le cheval de Troie bancaire à capturer les frappes, à manipuler le contenu de l’écran et à fournir un contrôle à distance complet à l’attaquant.
« Même si l’utilisateur dispose d’un schéma de verrouillage d’écran, Ghimob est capable de l’enregistrer et de le rejouer plus tard pour déverrouiller l’appareil », ont déclaré les chercheurs.
« Lorsque le cybercriminel est prêt à effectuer la transaction, il peut insérer un écran noir en superposition ou ouvrir un site Web en plein écran. Ainsi, pendant que l’utilisateur regarde cet écran, le criminel effectue la transaction en arrière-plan en utilisant l’application financière. s’exécutant sur le smartphone de la victime auquel l’utilisateur s’est ouvert ou connecté. «
De plus, Ghimob cible jusqu’à 153 applications mobiles, dont 112 institutions financières basées au Brésil, avec des applications de crypto-monnaie et bancaires en Allemagne, au Portugal, au Pérou, au Paraguay, en Angola et au Mozambique représentant le reste.
« Ghimob est le premier cheval de Troie bancaire mobile brésilien prêt à se développer et à cibler les institutions financières et leurs clients vivant dans d’autres pays », ont conclu les chercheurs de Kaspersky. « Le cheval de Troie est bien préparé pour voler les informations d’identification des banques, des fintechs, des bourses, des crypto-échanges et des cartes de crédit des institutions financières opérant dans de nombreux pays. »
