Mobilný trojan Ghimob sa vydáva za bankové aplikácie

Mobilný trojan Ghimob sa vydáva za bankové aplikácie

Kyberbezpečnostní experti objavili trojan Ghimob, ktorý po infikovaní mobilných telefónov imituje prihlasovacie rozhrania bankových aplikácií či búrz s kryptomenami. 

Podľa výskumnej správy spoločnosti Kaspersky  je nový trójsky kôň zabalený do škodlivých aplikácií pre Android a následne ponúkaný na stiahnutie – avšak nikdy nie cez oficiálny Obchod Play.

Prefíkaní hackeri si našli inú cestu. Pomocou e-mailov alebo škodlivých webov presmerujú používateľov na weby, ktoré promujú aplikácie pre Android.

Tieto sú napodobeninami oficiálnych aplikácií ako Google Docs, WhatsApp či Flash Update.

Správa šíriaca malvér, napísaná v brazílskej portugalčine / Zdroj: SecureList

Stiahnuté aplikácie si následne vyžiadajú rozšírený systémový prístup do zariadenia, čím získajú perzistenciu a znemožnia manuálnu odinštaláciu.

Následne začnú zobrazovať imitácie prihlasovacích stránok do niektorej zo 153 služieb finančných inštitúcií.

Ak sa ktorýkoľvek z phishingových pokusov stane úspešným a užívateľ záškodníkom poskytne svoje prihlasovacie údaje, skupina okolo Ghimob získa prístup k účtu obete a vykonáva nelegálne transakcie.

Ovládací panel so zoznamom infikovaných obetí / Zdroj: SecureList

Ghimob však nie je žiadnym sofistikovaným malvérom – kompiluje kód iných bankových trójskych koní pre Android, napríklad BlackRock alebo Alien.

Výskumníci predpokladajú, že Ghimob vyvinula skupina hackerov, ktorá stojí za windowsovým malvérom Guildma, súčasťou rodiny bankových trojanov Tétrade. Ich prepojenie prezradila najmä zdieľaná infraštruktúra.

Guildma a Ghimob: ZIP pre Windows, APK pre Android / Zdroj: SecureList

Nový malvér je najväčším postrachom pre brazílske mobilné bankovníctvo. Verzie pre ostatných latinskoamerických, nemeckých či portugalských zákazníkov však podčiarkujú jeho potenciál expandovať do celého sveta.


Sabína Huťová