Kyberbezpečnostní experti objavili trojan Ghimob, ktorý po infikovaní mobilných telefónov imituje prihlasovacie rozhrania bankových aplikácií či búrz s kryptomenami.
Podľa výskumnej správy spoločnosti Kaspersky je nový trójsky kôň zabalený do škodlivých aplikácií pre Android a následne ponúkaný na stiahnutie – avšak nikdy nie cez oficiálny Obchod Play.
Prefíkaní hackeri si našli inú cestu. Pomocou e-mailov alebo škodlivých webov presmerujú používateľov na weby, ktoré promujú aplikácie pre Android.
Tieto sú napodobeninami oficiálnych aplikácií ako Google Docs, WhatsApp či Flash Update.
Stiahnuté aplikácie si následne vyžiadajú rozšírený systémový prístup do zariadenia, čím získajú perzistenciu a znemožnia manuálnu odinštaláciu.
Následne začnú zobrazovať imitácie prihlasovacích stránok do niektorej zo 153 služieb finančných inštitúcií.
Ak sa ktorýkoľvek z phishingových pokusov stane úspešným a užívateľ záškodníkom poskytne svoje prihlasovacie údaje, skupina okolo Ghimob získa prístup k účtu obete a vykonáva nelegálne transakcie.
Ghimob však nie je žiadnym sofistikovaným malvérom – kompiluje kód iných bankových trójskych koní pre Android, napríklad BlackRock alebo Alien.
Výskumníci predpokladajú, že Ghimob vyvinula skupina hackerov, ktorá stojí za windowsovým malvérom Guildma, súčasťou rodiny bankových trojanov Tétrade. Ich prepojenie prezradila najmä zdieľaná infraštruktúra.
Nový malvér je najväčším postrachom pre brazílske mobilné bankovníctvo. Verzie pre ostatných latinskoamerických, nemeckých či portugalských zákazníkov však podčiarkujú jeho potenciál expandovať do celého sveta.
Sabína Huťová