Novi Android bankarski trojanac krade novac iz 112 aplikacija banaka

Mobilni telefoni, 10.11.2020, 11:00 AM

Novi Android bankarski trojanac krade novac iz 112 aplikacija banaka

Četiri meseca nakon što su otkrili „Tetradu“, četiri bankarska trojanca za Windows (Guildma, Javali, Melcoz i Grandoreiro) koja se koriste za napade na banke u Brazilu, Latinskoj Americi i Evropi, istraživači kompanije Kaspersky otkrili su da kriminalci koji stoje iza njih sada koriste još jednu taktiku - inficiranje mobilnih uređaja špijunskim malverom.

Prema nalazima Globalnog tima za istraživanje i analizu (GreAT) kompanije Kaspersky, reč je o Android bankarskom trojancu nazvanom „Ghimob“, koji cilja aplikacije banaka, fintech kompanija, berzi i kriptovaluta u Brazilu, Paragvaju, Peruu, Portugaliji, Nemačkoj, Angoli i Mozambiku.

Prateći trojance Tetrade, istraživači su pronašli URL adrese koje su distribuirale ne samo maliciozni .ZIP fajl za Windows već i maliciozni fajl za koga se ispostavilo da je downloader za instaliranje Ghimoba.

„Ghimob je pravi špijun u vašem džepu: kada se infekcija završi, haker daljinski može pristupiti zaraženom uređaju, dovršavajući lažnu transakciju pametnim telefonom žrtve, kako bi izbegao identifikaciju, mere bezbednosti koje sprovode banke i njihovi sistemi zaštite od prevara“, kažu istraživači.

Pored toga što deli istu infrastrukturu sa Guildma, Ghimob ima i isti način rada - koristi fišing emailove kao mehanizam za distribuciju malvera, pokušavajući da namami korisnike da kliknu na linkove sa kojih se preuzima Ghimob APK. Mamci za korisnike su popularne aplikacije ali ne iz Google Play prodavnice nego sa nekoliko sajtova koje je registrovala grupa Guildma.

Kada je instaliran na uređaju, trojanac funkcioniše slično kao i svaki drugi mobilni RAT, skrivajući svoje prisustvo odnosno ikonu i zloupotrebljavajući Androidove funkcije pristupačnosti da bi obezbedio postojanost na uređaju, onemogućio ručno deinstaliranje i omogućio snimanje pritisaka na tastere, manipulaciju sadržajem ekrana i pružio potpunu daljinsku kontrolu napadaču.

„Čak i ako korisnik ima obrazac zaključavanja ekrana, Ghimob je u stanju da ga snimi i kasnije reprodukuje da bi otključao uređaj“, rekli su istraživači.

„Kada je sajber-kriminalac spreman da izvrši transakciju, on može da umetne crni ekran kao prekrivač ili da otvori neki veb sajt na celom ekranu, pa dok korisnik gleda taj ekran, kriminalac transakciju obavlja u pozadini pomoću finansijske aplikacije na pametnom telefonu koju je korisnik već otvorio ili se u njoj prijavio“.

Ghimob cilja čak 153 mobilne aplikacije, od čega 112 aplikacija banka sa sedištem u Brazilu, a ostatak su aplikacije za kriptovalute i aplikacije banaka u Nemačkoj, Portugaliji, Peruu, Paragvaju, Angoli i Mozambiku.

„Ghimob je prvi brazilski mobilni bankarski trojanac spreman da se proširi i cilja banke i njihove korisnike koji žive u drugim zemljama“, zaključili su istraživači kompanije Kaspersky. „Trojanac je dobro pripremljen za krađu akreditiva od banaka, fintecha, berzi, kripto-berzi i kreditnih kartica od finansijskih institucija koje posluju u mnogim zemljama.“


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Googleova usluga provere lozinki dolazi na Android

Googleova usluga provere lozinki dolazi na Android

Google dodaje podršku za uslugu provere lozinke (Password Checkup) Android aplikacijama putem funkcije automatskog popunjavanja lozinki kako bi upozo... Dalje

SHAREit (najzad) uklonio opasne ranjivosti iz svoje aplikacije za Android

SHAREit (najzad) uklonio opasne ranjivosti iz svoje aplikacije za Android

Smart Media4U Technology sa sedištem u Singapuru objavila je da je popravila bagove u svojoj aplikaciji SHAREit koji su mogli omogućiti napadačima... Dalje

WhatsApp ponovo pokušao da objasni novu politiku privatnosti, a evo šta će se dogoditi posle 15. maja onima koji je ne prihvate

WhatsApp ponovo pokušao da objasni novu politiku privatnosti, a evo šta će se dogoditi posle 15. maja onima koji je ne prihvate

WhatsApp je na svom veb sajtu još jednom pokušao da objasni šta će se dogoditi sa korisnicima koji ne prihvate njegovu novu politiku privatnosti ... Dalje

Popularna aplikacija sa više od milijardu korisnika ima opasne ranjivosti koje proizvođač ni posle 3 meseca nije otklonio

Popularna aplikacija sa više od milijardu korisnika ima opasne ranjivosti koje proizvođač ni posle 3 meseca nije otklonio

Android aplikacija koja je preuzeta više od milijardu puta ima greške koje proizvođač aplikacije nije uspeo da otkloni više od tri meseca, a koje... Dalje

Slack zatražio od korisnika Android aplikacije da odmah promene lozinku

Slack zatražio od korisnika Android aplikacije da odmah promene lozinku

Pre nešto više od godinu i po dana Slack je otkrio da je 2015. hakovan, i da su tom prilikom kompromitovani podaci na hiljade njegovih korisnika. Da... Dalje