Бразильская экспансия: локальные зловреды научились атаковать и мобильные устройства по всему миру

Так, в Guildma, одном из сложных семейств банковских троянцев с бразильскими корнями, появился новый зловред Ghimob. С его помощью атакующие шпионят за своими жертвами, расположенными в том числе в Парагвае, Перу, Португалии, Германии, Анголе и Мозамбике.

Это вредоносное ПО внедряется в систему через электронное письмо с сообщением о долге, который якобы числится за адресатом. Получателю предлагается пройти по ссылке, чтобы узнать больше. Если он нажимает на неё, то в систему загружается троянец для удалённого доступа. После успешной установки он отправляет на сервер информацию о модели мобильного устройства, о том, есть ли на нём настройки блокировки экрана, и список приложений. По данным экспертов, Ghimob может шпионить за 153 мобильными приложениями, в основном принадлежащими банкам, финтех-компаниям, криптовалютным биржам. Этот троянец умеет избегать ручного отключения, собирать данные, манипулировать тем, что изображено на экране, и предоставлять злоумышленникам возможность полностью контролировать устройство с помощью инструментов удалённого доступа.

Ghimob может скрываться от систем по борьбе с мошенничеством, внедряемых финансовыми организациями, и разблокировать экран устройства, так как обладает функцией записи и воспроизведения действий пользователя, в том числе связанных с вводом пароля. Для проведения мошеннической трансакции злоумышленники могут принудительно выключить экран устройства или воспользоваться уже открытым финансовым приложением в фоне, пока человек видит на экране другое приложение.

«Желание латиноамериканских злоумышленников распространить мобильные банковские троянцы по всему миру имеет долгую историю. Мы уже видели Basbanke, BRata, но они фокусировались на бразильском рынке. Ghimob — первый мобильный банковский троянец бразильского происхождения, готовый к международному распространению. Мы полагаем, что этот зловред относится к семейству Guildma по нескольким причинам, но главным образом потому, что они используют одну и ту же инфраструктуру. Мы рекомендуем финансовым организациям пристально следить за этими угрозами и одновременно улучшать процессы аутентификации, внедрять технологии борьбы с мошенничеством и использовать аналитические данные об угрозах, чтобы снизить вероятность успешных атак этого мобильного банковского троянца», — комментирует Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».

Продукты «Лаборатории Касперского» детектируют новое семейство как Trojan-Banker.AndroidOS.Ghimob.

Узнать больше об этом семействе зловредов можно по ссылке: https://securelist.com/ghimob-tetrade-threat-mobile-devices/99228/

Чтобы избежать рисков, связанных с атаками банковских троянцев, эксперты «Лаборатории Касперского» рекомендуют финансовым организациям:

• предоставить сотрудникам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собрана информация о кибератаках, накопленная за более 20 лет работы «Лаборатории Касперского»;
• рассказывать клиентам о схемах, которые могут использовать злоумышленники, и о том, как распознавать мошенничество;
• внедрить решение для борьбы с мошенничеством, такое как Kaspersky Fraud Prevention. Оно защищает мобильные каналы от атак с применением инструментов удалённого контроля для проведения мошеннических трансакций. Решение умеет детектировать троянцы удалённого доступа, а также отслеживать ситуации, когда удалённый контроль за устройством осуществляется с помощью легального ПО.