新型 “ Ghimob” 恶意软件可以监视和窃取 153 个 Android 移动应用程序数据

安全研究人员发现了一种新的Android银行木马，可以监视和窃取153个Android应用程序中的数据。

据安全公司卡巴斯基周一发布的一份报告称，该木马名为 Ghimob，该木马是由Astaroth（Guildma）Windows恶意软件背后的同一组织开发的 。

卡巴斯基表示，新的Android木马已被打包下载到Astaroth（Guildama）以前使用的网站和服务器上的恶意Android应用程序中。

发行从未通过官方Play商店进行。

相反，Ghimob组使用电子邮件或恶意网站将用户重定向到宣传Android应用程序的网站。

这些应用程序模仿了官方应用程序和品牌，并带有Google Defender，Google Docs，WhatsApp Updater或Flash Update之类的名称。如果尽管用户在设备上显示了所有警告，但用户仍不注意安装这些应用程序，则恶意应用程序将请求访问Accessibility服务，这是感染过程的最后一步。

如果获得批准，这些应用程序将在受感染的手机中搜索153个应用程序列表，并在其中列出虚假的登录页面，以窃取用户的凭据。

卡巴斯基表示，大多数目标应用程序是针对巴西银行的，但在最近更新的版本中，Ghimob还扩展了其功能，开始针对德国（五个应用程序，葡萄牙（三个应用程序），秘鲁（两个应用程序），巴拉圭（两个应用程序）的银行），安哥拉和莫桑比克（每个国家/地区一个应用程序）。

此外，Ghimob还添加了针对目标加密货币交换应用程序的更新，以尝试访问加密货币帐户，Ghimob遵循了Android恶意软件领域的总体趋势，该趋势已逐渐转移到目标加密货币所有者。

在成功进行网络钓鱼之后，所有收集的凭据都被发送回Ghimob团伙，后者将访问受害者的帐户并发起非法交易。

如果帐户受到严格的安全措施保护，则Ghimob团伙将通过对设备的完全控制（通过辅助功能）来响应受攻击智能手机上显示的所有安全探测和提示。

Ghimob的功能并不是唯一的，但实际上可以复制其他Android银行木马的构成，例如BlackRock 或 Alien。

卡巴斯基指出，Ghimob的发展目前与巴西恶意软件市场的全球趋势相呼应，非常活跃的本地恶意软件团伙正在缓慢地扩展到针对国外国家的受害者。