Một trojan ngân hàng mới được gọi là Ghimob được cho là đã lây nhiễm vào các thiết bị di động trên toàn thế giới, nhắm mục tiêu vào các ứng dụng tài chính từ ngân hàng, fintech, sàn giao dịch và tiền điện tử. Trojan truy cập từ xa (RAT) được cho là đã được triển khai bởi cùng một tổ chức tấn công Brazil vận hành phần mềm độc hại ngân hàng Mỹ Latinh nổi tiếng, Guildma.
Ban đầu được công ty an ninh mạng Kaspersky trình bày chi tiết, phần mềm gián điệp mới được phát hiện đã lây nhiễm vào các thiết bị ở Brazil, Paraguay, Peru, Bồ Đào Nha, Đức, Angola và Mozambique. Hiện tại, tất cả các nạn nhân đều ở Brazil, nhưng các tin tặc đứng sau phần mềm độc hại này rõ ràng đang có kế hoạch mở rộng hoạt động ra toàn cầu.
Theo các nhà nghiên cứu, Ghimob (Trojan-Banker.AndroidOS.Ghimob) là một phần mềm gián điệp chính thức của Android cho phép tin tặc truy cập từ xa vào các thiết bị bị xâm nhập, cho phép chúng thực hiện giao dịch gian lận với điện thoại thông minh của nạn nhân trong khi tránh các biện pháp bảo mật do các tổ chức tài chính thực hiện. “Ngay cả khi người dùng có sẵn kiểu khóa màn hình, Ghimob vẫn có thể ghi lại và sau đó phát lại để mở khóa thiết bị”, báo cáo cho biết.
Theo báo cáo, phần mềm độc hại được tải xuống thiết bị khách khi người dùng không nghi ngờ nhấp vào một URL độc hại được gửi qua email. URL phân phối các APK độc hại trên Android dường như giống với URL cung cấp các tệp ZIP chứa đầy phần mềm độc hại cho Windows. “Nếu tác nhân người dùng đã nhấp vào liên kết độc hại là trình duyệt dựa trên Android, thì tệp được tải xuống sẽ là trình cài đặt Ghimob APK (thay vì Tệp ZIP Guildma cho Windows) ”, Kaspersky nói.
Theo báo cáo, các APK được phân phối do đó đóng giả là trình cài đặt các ứng dụng phổ biến, bao gồm Google Defender, Google Docs, WhatsApp Updater, v.v. “Sau khi được cài đặt trên điện thoại, ứng dụng sẽ lạm dụng Chế độ trợ năng để đạt được sự bền bỉ, vô hiệu hóa việc gỡ cài đặt thủ công và cho phép trojan ngân hàng nắm bắt dữ liệu, thao tác nội dung màn hình và cung cấp toàn quyền điều khiển từ xa cho kẻ lừa đảo”, các nhà nghiên cứu cho biết.
