卡巴斯基实验室的全球研究与分析团队(GReAT)发现了一种新的针对银行的木马,他们相信该木马是由巴西威胁组织Guildma部署的,主要针对拉丁美洲,巴西和欧洲的金融机构。
该木马名为Ghimob。这是一种远程访问木马,它通过伪装成与债务偿还有关的电子邮件入侵Android移动设备。
卡巴斯基的研究人员声称,这些罪犯正试图通过利用间谍软件感染欧洲,拉丁美洲甚至美国的移动设备来扩大其业务。
该Ghimob的主要目标是来自巴西,秘鲁,巴拉圭,葡萄牙,安哥拉,德国和莫桑比克的金融科技公司,银行,加密货币和交易所的金融应用程序。
Guildma使用一种经过验证的网络钓鱼电子邮件方式来分发恶意软件,并诱使毫无戒心的用户单击恶意URL,然后下载Ghimob APK安装程序。安装在android设备上后,该木马的工作方式与任何其他移动RAT相似。
安装后不久,木马会向攻击者的服务器发送一条消息,通知安装成功。该消息包括有关手机型号,设备上安装的应用程序列表以及用户是否已实现锁屏安全性的信息。
根据研究人员的说法,Ghimob安装后,可以帮助攻击者远程完全控制该设备,以截取屏幕快照并记录用户在移动应用程序或在线输入框里输入的文本,以及使用麦克风。
它从应用程序桌面隐藏其图标。它利用设备的可访问性功能来确保持久性,捕获键击,禁用手动卸载,提供设备的完全控制权以及处理屏幕内容。即使用户启用了屏幕锁定模式,木马也可以在解锁以后录制并重放屏幕内容。
攻击者要么插入黑屏作为覆盖,要么全屏打开网站以执行交易。当用户查看屏幕时,攻击者使用用户已登录或在受感染设备上打开的金融应用程序进行交易。
Ghimob的目标是153个应用程序,其中112个是巴西的金融机构。