Overslaan naar hoofdinhoud
09 november 2020

Nieuwe Ghimob-banktrojan werkt als spion in zak van mobiele gebruiker


Utrecht, 9 november 2020 - Bij het monitoren van een Windows-campagne vanGuildmabanking-malware, vond Kaspersky een kwaadaardig bestand dat een downloader leek te zijn om Ghimob te installeren - een nieuwe banktrojan. Bij het infiltreren van detoegankelijkheidsmoduskan Ghimob handmatige verwijdering uitschakelen, gegevens vastleggen, scherminhoud manipuleren en volledige afstandsbediening bieden aan de actoren erachter. Volgens experts zijn de ontwikkelaars van deze zeer typische mobiele Remote Access Trojan (RAT) sterk gericht op gebruikers in Brazilië, maar hebben ze grote plannen om over de hele wereld uit te breiden. De campagne is nog steeds actief.

Guildma maakt deel uit van de beruchte Tétrade-serie, bekend om zijn kwaadaardige activiteiten in Latijns-Amerika, en andere delen van de wereld. Guildma heeft actief gewerkt aan nieuwe technieken, malware ontwikkeld en nieuwe slachtoffers gemaakt. Zijn nieuwste creatie: de Ghimob-banktrojan.

Zo werkt de Ghimob-banktrojan
Ghimob laat het kwaadaardige bestand installeren via een e-mail die suggereert dat de ontvanger een zogenaamde schuld heeft. De e-mail bevat tevens een link waarop het slachtoffer kan klikken, zodat het meer informatie kan vinden. Zodra de RAT is geïnstalleerd, stuurt de malware een bericht naar zijn server. Het bericht bevat het telefoonmodel, of het schermvergrendelingsbeveiliging heeft en een lijst met alle geïnstalleerde apps waarop de malware zich kan richten. In totaal kan Ghimob 153 mobiele apps bespioneren, voornamelijk van banken, fintech-bedrijven, cryptocurrencies en beurzen.

Spion op zak
Ghimob kan beschouwd worden als een spion in de zak van het slachtoffer. Ontwikkelaars hebben op afstand toegang tot het geïnfecteerde apparaat. Ze kunnen fraude voltooien met de smartphone van de eigenaar om machine-identificatie en beveiligingsmaatregelen van financiële instellingen en hun anti-fraudegedragssystemen te vermijden. Zelfs als de gebruiker een vergrendelschermpatroon gebruikt, kan Ghimob dit opnemen en opnieuw afspelen om het apparaat te ontgrendelen. Eenmaal klaar om de frauduleuze transactie uit te voeren, kunnen de ontwikkelaars een zwart of zwart scherm overlay invoegen of sommige websites op volledig scherm openen. Terwijl de gebruiker naar dat scherm kijkt, voeren de ontwikkelaars de frauduleuze transactie op de achtergrond uit, met behulp van de reeds geopende of ingelogde financiële app die op het apparaat wordt uitgevoerd.

Kaspersky-statistieken tonen aan dat Ghimob-doelen zich niet alleen in Brazilië, maar ook in Paraguay, Peru, Portugal, Duitsland, Angola en Mozambique bevinden.

“Eerder zagen we al trojans voor mobiel bankieren als Basbanke en BRata, maar beiden waren sterk gefocust op de Braziliaanse markt. Ghimob is de eerste Braziliaanse trojan voor mobiel bankieren die klaar is voor internationale expansie. We denken dat deze nieuwe campagne verband kan houden met Guildma, omdat ze dezelfde infrastructuur delen. We raden financiële instellingen aan om deze bedreigingen nauwlettend in de gaten te houden, terwijl ze hun authenticatieprocessen verbeteren, anti-fraudetechnologie en gegevens over bedreigingsinformatie stimuleren en alle risico's van deze nieuwe mobiele RAT-familie proberen te begrijpen en te verkleinen'', aldus Fabio Assolini, beveiligingsexpert bij Kaspersky .

Kaspersky-producten detecteren de nieuwe familie als Trojan-Banker.AndroidOS.Ghimob.

Om beschermd te blijven tegen RAT en bankbedreigingen, raadt Kaspersky aan om de volgende beveiligingsmaatregelen te nemen:

  • Geef het SOC-team toegang tot de nieuwste dreigingsinformatie (TI). De Kaspersky Threat Intelligence Portal geeft toegang tot de TI van het bedrijf en biedt gegevens over cyberaanvallen en inzichten die Kaspersky al meer dan 20 jaar heeft verzameld.
  • Leer klanten over de mogelijke trucs die boosdoeners kunnen gebruiken. Stuur ze regelmatig informatie over hoe ze fraude kunnen identificeren en hoe ze zich in deze situatie kunnen gedragen.
  • Implementeer een fraudebestrijdingsoplossing, zoals Kaspersky Fraud Prevention. Het kan het mobiele kanaal beschermen tegen gebeurtenissen wanneer aanvallers op afstand een frauduleuze transactie willen uitvoeren. Ter bescherming kan de oplossing zowel RAT-malware op het apparaat detecteren, als tekenen van afstandsbediening identificeren via legale software.

Lees het volledige rapport over Securelist voor meer informatie over de nieuwe exploits die hierboven zijn beschreven.

Nieuwe Ghimob-banktrojan werkt als spion in zak van mobiele gebruiker


Kaspersky Logo

Verwant artikel Nieuws

  • Meer dan 2 op de 5 Nederlandse bedrijfsleiders is er niet zeker van dat ex-werknemers geen toegang hebben tot digitale middelen

    Personeelsvermindering kan leiden tot extra cybersecurityrisico’s blijkt uit recent onderzoek van Kaspersky naar het gedrag van mkb’s tijdens crises. Zo is nog geen 3 op de 5 (58%) van de Nederlandse bedrijfsleiders ervan overtuigd dat hun ex-werknemers geen toegang meer hebben tot de bedrijfsgegevens die zijn opgeslagen in de cloud, en zelfs meer dan 1 op 10 (12%) is er niet zeker van of ex-werknemers geen bedrijfsaccounts meer kunnen gebruiken.
    Lees meer >

  • Digitaal geweld via stalkerware toont weinig tekenen van afname

    In 2022 waren bijna 30.000 mobiele gebruikers wereldwijd het doelwit van stalkerware (geheime observatiesoftware die door huiselijk geweldplegers wordt gebruikt om slachtoffers te volgen), volgens het laatste Kaspersky State of Stalkerware-rapport.
    Lees meer >

  • Aanvallen in de industriële sector nemen toe: een jaaroverzicht van Kaspersky

    In 2022 werd meer dan 40 procent van de operationele technologie (OT) computers getroffen door kwaadaardige objecten, zo blijkt uit het ICS threat landscape report van Kaspersky. In de tweede helft van 2022 werd de industriële sector wereldwijd getroffen door de meeste aanvallen (34,3%). Deze periode werd ook gekenmerkt door een toenemend aantal aanvallen die werden uitgevoerd met behulp van kwaadaardige scripts, phishingpagina's (JS en HTML) en denylisted bronnen. Aanvallen op de automotive-industrie en de energiesector lieten een ongekende groei zien en waren goed voor 36,9 procent en 34,5 procent van alle industrieën.
    Lees meer >