Ghimob Android 銀行木馬針對 153 個移動應用程序進行遠程訪問

一家銀行木馬針對的是巴西的移動應用程序用戶,研究人員警告說，其運營商已計劃將業務擴展到國外。

已經發現一種針對Android用戶的新型銀行木馬，具有監視來自各種銀行，加密貨幣和交易所的153個移動應用程序的功能。

研究人員將這種稱為Ghimob的銀行木馬稱為“full-fledged spy in your pocket”，其操作員可以遠程訪問。網絡罪犯可以使用該木馬繞過金融機構的安全和反欺詐措施，以便在受害者的智能手機上進行欺詐性交易。

Kaspersky遙測顯示，目前Ghimob移動銀行木馬的所有受害者目前位于巴西。但是，由于某些目標應用程序位于巴西以外的地區，因此他們認為Ghimob制定了向海外擴展的宏偉計劃，其中包括向安哥拉，德國，莫桑比克，巴拉圭，秘魯和葡萄牙的擴展。

Ghimob定位的153個應用中，有112個位于巴西。

卡巴斯基（Kaspersky）的研究人員在周一的分析中說：“ Ghimob是巴西第一家準備擴展并瞄準金融機構及其居住在其他國家的客戶的巴西移動銀行木馬。” “我們的遙測結果證實了巴西的受害者，但正如我們所見，特洛伊木馬已經做好充分準備，從銀行、金融技術公司、交易所、密碼交易所和在許多國家運營的金融機構竊取信用卡，因此這自然是一種國際擴張。”

攻擊過程

首先，說服Ghimob受害者通過以巴西葡萄牙語編寫的電子郵件來安裝惡意文件。該電子郵件聲稱來自債權人，并提供了收件人可以查看更多信息的鏈接。該鏈接指向一個應用，該應用偽裝成各種合法工具，例如Google Defender，Google Docs或WhatsApp Updater。

一旦木馬安裝并啟動，它首先會嘗試嗅出所有可能的仿真器或調試器。如果存在，則該惡意軟件會自行終止。

研究人員說：“較新版本的惡意軟件已將仿真器名稱移至加密的配置文件中。” “如果通過了這些先前的檢查，則該用戶將看到默認的Android可訪問性窗口，因為該惡意軟件嚴重依賴于可訪問性才能正常工作。”

然后，該惡意軟件會將包含受害者電話數據（包括型號），是否激活了屏幕鎖定以及電話中已安裝的所有目標應用程序的列表的消息發送回命令和控制（C2）服務器，包括其版本號）。

功能

Ghimob具有屏幕錄制功能，可以在用戶輸入其屏幕鎖定方式時進行記錄，然后再播放以解鎖設備。它還可以阻止用戶卸載它，重新啟動或關閉設備。

它還依賴于Android移動銀行木馬使用的通用覆蓋屏幕策略來避免檢測，在這種情況下，網絡罪犯可以插入黑屏作為覆蓋或以全屏方式打開網站。當用戶查看該覆蓋屏幕時，在后臺，攻擊者使用在受害者的智能手機上運行的金融應用程序執行交易。

下載后，該應用程序可以針對受害者智能手機上的各種應用程序進行欺詐性交易。

最后，“從技術角度來看，Ghimob也很有趣，因為它使用了受Cloudflare保護的后備C2，使用DGA隱藏了它的真實C2，并采用了其他一些技巧，在該領域成為了強大的競爭對手，”研究人員指出。“相比布拉塔或Basbanke，另一個手機銀行木馬家族原產于巴西，Ghimob是更為先進，功能更豐富，并具有較強的持續性。”

與Guildma的關系

研究人員將這場運動與Guildma威脅行動者聯系在一起，后者是巴西著名的銀行木馬，主要是因為兩者共享相同的基礎設施。

研究人員說：“還必須注意，移動版本使用的協議與Windows版本使用的協議非常相似。”

Guildma是威脅參與者，是Tetrade銀行木馬家族的一部分-卡巴斯基對巴西騙子創建，開發和傳播的四個大型銀行木馬家族的稱呼。研究人員說，Ghimob表明，Guildma一直在努力引進新技術，創建新的惡意軟件并針對新的受害者。

展望未來，研究人員建議金融機構密切注意這些威脅。他們還建議采取一些措施，例如“改善他們的身份驗證流程，增強反欺詐技術和威脅情報數據，并試圖理解和減輕這種新型移動RAT系列帶來的所有風險。”