Novi Android bankarski trojanac krade novac iz 112 aplikacija banaka

Mobilni telefoni, 10.11.2020, 11:00 AM

Novi Android bankarski trojanac krade novac iz 112 aplikacija banaka

Četiri meseca nakon što su otkrili „Tetradu“, četiri bankarska trojanca za Windows (Guildma, Javali, Melcoz i Grandoreiro) koja se koriste za napade na banke u Brazilu, Latinskoj Americi i Evropi, istraživači kompanije Kaspersky otkrili su da kriminalci koji stoje iza njih sada koriste još jednu taktiku - inficiranje mobilnih uređaja špijunskim malverom.

Prema nalazima Globalnog tima za istraživanje i analizu (GreAT) kompanije Kaspersky, reč je o Android bankarskom trojancu nazvanom „Ghimob“, koji cilja aplikacije banaka, fintech kompanija, berzi i kriptovaluta u Brazilu, Paragvaju, Peruu, Portugaliji, Nemačkoj, Angoli i Mozambiku.

Prateći trojance Tetrade, istraživači su pronašli URL adrese koje su distribuirale ne samo maliciozni .ZIP fajl za Windows već i maliciozni fajl za koga se ispostavilo da je downloader za instaliranje Ghimoba.

„Ghimob je pravi špijun u vašem džepu: kada se infekcija završi, haker daljinski može pristupiti zaraženom uređaju, dovršavajući lažnu transakciju pametnim telefonom žrtve, kako bi izbegao identifikaciju, mere bezbednosti koje sprovode banke i njihovi sistemi zaštite od prevara“, kažu istraživači.

Pored toga što deli istu infrastrukturu sa Guildma, Ghimob ima i isti način rada - koristi fišing emailove kao mehanizam za distribuciju malvera, pokušavajući da namami korisnike da kliknu na linkove sa kojih se preuzima Ghimob APK. Mamci za korisnike su popularne aplikacije ali ne iz Google Play prodavnice nego sa nekoliko sajtova koje je registrovala grupa Guildma.

Kada je instaliran na uređaju, trojanac funkcioniše slično kao i svaki drugi mobilni RAT, skrivajući svoje prisustvo odnosno ikonu i zloupotrebljavajući Androidove funkcije pristupačnosti da bi obezbedio postojanost na uređaju, onemogućio ručno deinstaliranje i omogućio snimanje pritisaka na tastere, manipulaciju sadržajem ekrana i pružio potpunu daljinsku kontrolu napadaču.

„Čak i ako korisnik ima obrazac zaključavanja ekrana, Ghimob je u stanju da ga snimi i kasnije reprodukuje da bi otključao uređaj“, rekli su istraživači.

„Kada je sajber-kriminalac spreman da izvrši transakciju, on može da umetne crni ekran kao prekrivač ili da otvori neki veb sajt na celom ekranu, pa dok korisnik gleda taj ekran, kriminalac transakciju obavlja u pozadini pomoću finansijske aplikacije na pametnom telefonu koju je korisnik već otvorio ili se u njoj prijavio“.

Ghimob cilja čak 153 mobilne aplikacije, od čega 112 aplikacija banka sa sedištem u Brazilu, a ostatak su aplikacije za kriptovalute i aplikacije banaka u Nemačkoj, Portugaliji, Peruu, Paragvaju, Angoli i Mozambiku.

„Ghimob je prvi brazilski mobilni bankarski trojanac spreman da se proširi i cilja banke i njihove korisnike koji žive u drugim zemljama“, zaključili su istraživači kompanije Kaspersky. „Trojanac je dobro pripremljen za krađu akreditiva od banaka, fintecha, berzi, kripto-berzi i kreditnih kartica od finansijskih institucija koje posluju u mnogim zemljama.“


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Istraživači iz firme ThreatFabric primetili su na Google Play pet aplikacija koje je preuzelo više od 150.000 korisnika koji su na taj način infic... Dalje

Android malver XLoader se širi preko SMS poruka

Android malver XLoader se širi preko SMS poruka

Istraživači iz kompanije McAfee otkrili su novu verziju Android malvera XLoader koji se širi uglavnom putem SMS poruka koje sadrže skraćeni URL k... Dalje

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

U Apple App Storeu pojavila se lažna aplikacija LassPass za koju se pretpostavlja da se koristi kao aplikacija za krađu lozinki korisnika. Kompanija... Dalje

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google pokreće pilot program za borbu protiv finansijskih prevara blokiranjem bočnog učitavanja Android APK fajlova koji zahtevaju pristup rizični... Dalje