0
0
A empresa de soluções de segurança Kaspersky divulgou que que a versão móvel do malwre Guildma tem características únicas da ciberameaça e deve ser considerada uma nova família de trojans, que batizou o Ghimob. Segundo a empresa, é o primeiro trojan brasileiro com impacto fora do país. Os alvos são bancos, fintechs, corretoras de valores e de criptomoedas, localizadas na América Latina, Europa e África. No Brasil, está com campanhas massivas ativas.
“Um trojan com alcance global para realizar fraudes no mobile banking era um desejo de longa data dos cibercriminosos latino-americanos. Já tivemos o Basbanke e o BRata , mas estes atuam mais focados no mercado brasileiro. Por isso, o Ghimob é o primeiro trojan para mobile banking brasileiro pronto para ser internacionalizado e acreditamos que isso não vá demorar, uma vez que ele compartilha a mesma infraestrutura do Guildma, um trojan para Windows que já atua fora do país”, afirma o especialista de segurança da Kaspersky no Brasil, Fabio Assolini.
Para realizar a infecção do celular, os criminosos enviam campanhas massivas de phishing dizendo que a pessoa tem uma dívida, com um link para que a vítima tenha detalhes do débito. Assim que o RAT (tipo de trojan que usa acesso remoto) é instalado, ele envia uma mensagem ao criminoso avisando que a infecção foi bem-sucedida com o modelo do telefone, se há tela de bloqueio de segurança e uma lista de todos os aplicativos instalados que o malware pode atacar.
O que chama atenção é a extensa lista de aplicações que o Ghimob pode espionar, que conta com mais de 110 apps de instituições bancárias no Brasil. Além disso, o trojan ainda tem como alvo aplicativos de criptomoeda de diferentes países (13 apps), sistemas internacionais de pagamento (9 apps) e mobile banking de instituições que operam na Alemanha (5 aplicativos), Portugal (3 aplicativos), Peru (2 aplicativos), Paraguai (2 aplicativos), Angola e Moçambique (1 aplicativo de cada país).
Quanto ao seu funcionamento, os criminosos usam o Ghimob para acessar remotamente o dispositivo infectado e realizar transações usando o smartphone da vítima – isto evita a detecção da fraude por tecnologias de fingerprint e antifraude (detecção por comportamento) que as instituições financeiras utilizam. Outra característica interessante é que o trojan consegue destravar o celular, mesmo que este use um padrão (desenho) de bloqueio, ou mesmo que seja uma senha, pois o trojan consegue gravá-lo e reproduzi-lo.
Para realizar as transações fraudulentas, os criminosos colocam uma tela em branco, tela preta ou um site com tela cheia para esconder sua atividade. Segundo a empresa de segurança, a tela preta é usada para forçar a vítima a usar a biometria para ‘destravá-la’ e, assim, roubar esta forma de autenticação.
FONTE: CONVERGÊNCIA DIGITAL