Ghimob Android 银行木马针对 153 个移动应用程序进行远程访问

一家银行木马针对的是巴西的移动应用程序用户,研究人员警告说，其运营商已计划将业务扩展到国外。

已经发现一种针对Android用户的新型银行木马，具有监视来自各种银行，加密货币和交易所的153个移动应用程序的功能。

研究人员将这种称为Ghimob的银行木马称为“full-fledged spy in your pocket”，其操作员可以远程访问。网络罪犯可以使用该木马绕过金融机构的安全和反欺诈措施，以便在受害者的智能手机上进行欺诈性交易。

Kaspersky遥测显示，目前Ghimob移动银行木马的所有受害者目前位于巴西。但是，由于某些目标应用程序位于巴西以外的地区，因此他们认为Ghimob制定了向海外扩展的宏伟计划，其中包括向安哥拉，德国，莫桑比克，巴拉圭，秘鲁和葡萄牙的扩展。

Ghimob定位的153个应用中，有112个位于巴西。

卡巴斯基（Kaspersky）的研究人员在周一的分析中说：“ Ghimob是巴西第一家准备扩展并瞄准金融机构及其居住在其他国家的客户的巴西移动银行木马。” “我们的遥测结果证实了巴西的受害者，但正如我们所见，特洛伊木马已经做好充分准备，从银行、金融技术公司、交易所、密码交易所和在许多国家运营的金融机构窃取信用卡，因此这自然是一种国际扩张。”

攻击过程

首先，说服Ghimob受害者通过以巴西葡萄牙语编写的电子邮件来安装恶意文件。该电子邮件声称来自债权人，并提供了收件人可以查看更多信息的链接。该链接指向一个应用，该应用伪装成各种合法工具，例如Google Defender，Google Docs或WhatsApp Updater。

一旦木马安装并启动，它首先会尝试嗅出所有可能的仿真器或调试器。如果存在，则该恶意软件会自行终止。

研究人员说：“较新版本的恶意软件已将仿真器名称移至加密的配置文件中。” “如果通过了这些先前的检查，则该用户将看到默认的Android可访问性窗口，因为该恶意软件严重依赖于可访问性才能正常工作。”

然后，该恶意软件会将包含受害者电话数据（包括型号），是否激活了屏幕锁定以及电话中已安装的所有目标应用程序的列表的消息发送回命令和控制（C2）服务器，包括其版本号）。

功能

Ghimob具有屏幕录制功能，可以在用户输入其屏幕锁定方式时进行记录，然后再播放以解锁设备。它还可以阻止用户卸载它，重新启动或关闭设备。

它还依赖于Android移动银行木马使用的通用覆盖屏幕策略来避免检测，在这种情况下，网络罪犯可以插入黑屏作为覆盖或以全屏方式打开网站。当用户查看该覆盖屏幕时，在后台，攻击者使用在受害者的智能手机上运行的金融应用程序执行交易。

下载后，该应用程序可以针对受害者智能手机上的各种应用程序进行欺诈性交易。

最后，“从技术角度来看，Ghimob也很有趣，因为它使用了受Cloudflare保护的后备C2，使用DGA隐藏了它的真实C2，并采用了其他一些技巧，在该领域成为了强大的竞争对手，”研究人员指出。“相比布拉塔或Basbanke，另一个手机银行木马家族原产于巴西，Ghimob是更为先进，功能更丰富，并具有较强的持续性。”

与Guildma的关系

研究人员将这场运动与Guildma威胁行动者联系在一起，后者是巴西著名的银行木马，主要是因为两者共享相同的基础设施。

研究人员说：“还必须注意，移动版本使用的协议与Windows版本使用的协议非常相似。”

Guildma是威胁参与者，是Tetrade银行木马家族的一部分-卡巴斯基对巴西骗子创建，开发和传播的四个大型银行木马家族的称呼。研究人员说，Ghimob表明，Guildma一直在努力引进新技术，创建新的恶意软件并针对新的受害者。

展望未来，研究人员建议金融机构密切注意这些威胁。他们还建议采取一些措施，例如“改善他们的身份验证流程，增强反欺诈技术和威胁情报数据，并试图理解和减轻这种新型移动RAT系列带来的所有风险。”