Ghimob, un nuevo malware bancario dirigido a usuarios móviles de todo el mundo

Recomendados:  Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Creación de aplicaciones seguras: recomendaciones para los servicios financieros Leer

Al monitorizar una campaña Windows del malware bancario Guildma, los investigadores de Kaspersky encontraron URL que distribuían no solo un archivo .ZIP malicioso para Windows, sino también un archivo malicioso que parecía ser un descargador para instalar Ghimob, un nuevo troyano bancario. Al infiltrarse en el Accessibility Mode, Ghimob puede ganar persistencia y deshabilitar la desinstalación manual, capturar datos, manipular el contenido de la pantalla y proporcionar control remoto completo a los atacantes.

Guildma, un actor de amenazas que forma parte de la infame serie Tétrade, conocida por sus actividades maliciosas tanto en América Latina como en otras partes del mundo, ha estado trabajando activamente en nuevas técnicas, desarrollando malware y apuntando a nuevas víctimas. Su nueva creación, el troyano bancario Ghimob, atrae a las víctimas para que instalen el archivo malicioso a través de un correo electrónico que sugiere que la persona que lo recibe tiene algún tipo de deuda. El correo electrónico también incluye un enlace en el que la víctima puede hacer clic para obtener más información.

Una vez que se instala el troyano de acceso remoto (RAT), el malware envía un mensaje sobre la infección exitosa a su servidor. El mensaje incluye el modelo de teléfono, si tiene seguridad en la pantalla de bloqueo y una lista de todas las aplicaciones instaladas a las que puede atacar el malware. En total, Ghimob puede espiar 153 aplicaciones móviles, principalmente de bancos, Fintech, empresas de cambio de divisas y criptomonedas.

Las estadísticas de Kaspersky muestran que, además de Brasil, los objetivos de este troyano móvil se encuentran en Paraguay, Perú, Portugal, Alemania, Angola y Mozambique, y tiene planes para expandirse por todo el mundo. La campaña aún está activa.

“Ghimob es el primer troyano bancario móvil brasileño listo para su expansión internacional. Creemos que esta nueva campaña podría estar relacionada con el actor de amenazas Guildma, responsable de un conocido troyano bancario brasileño, por varias razones, pero principalmente porque comparten la misma infraestructura. Recomendamos que las instituciones financieras vigilen estas amenazas de cerca, mientras mejoran sus procesos de autenticación, impulsan la tecnología antifraude y los datos de inteligencia de amenazas, y tratan de comprender y mitigar todos los riesgos de esta nueva familia RAT móvil”, comenta Fabio Assolini, experto en seguridad de Kaspersky.