Ghimob Malware

Die Ghimob-Malware ist eine neue Bedrohung durch Banking-Trojaner, die von denselben Bedrohungsakteuren veröffentlicht wurde, die für die Windows-Malware Astaroth (Guildma) verantwortlich waren. Es scheint, dass die Hacker mit Ghimob dem breiteren Trend der brasilianischen Cyberkriminellen folgen, ihre Aktivitäten von einer lokalen auf eine weltweite Ebene auszudehnen. Als solches ist Ghimob mit Funktionen zum Sammeln von Anmeldeinformationen ausgestattet, insgesamt 152 verschiedenen mobilen Anwendungen von Banken, Fintech-Unternehmen, Börsen und in letzter Zeit Kryptowährungen aus einer Vielzahl von Ländern. Während die Mehrheit der Zielanwendungen, genauer gesagt 112, immer noch aus Brasilien stammt, kann dies 13 Kryptowährungsanwendungen und neun Zahlungssysteme aus verschiedenen Ländern betreffen. Darüber hinaus können Phishing-Anmeldeseiten für fünf deutsche Bankanwendungen, drei Portugal-Anwendungen, zwei aus Peru und Paraguay sowie jeweils eine Anwendung aus Angola und Mosambik erstellt werden.

Während das Hauptziel von Ghimob Malware darin besteht, Anmeldeinformationen und Bankdaten zu stehlen, verfügt es über die Fähigkeiten einer vollwertigen Spyware-Bedrohung. Es sammelt und exfiltriert verschiedene Systemdaten vom Gerät, einschließlich des Telefonmodells, wenn eine Bildschirmsperre aktiv ist, und eine Liste aller darauf installierten Apps. Durch den Missbrauch der angeforderten Berechtigungen für den Eingabehilfenmodus kann Ghimob die Persistenz auf dem Gerät erreichen und Versuche zur manuellen Deinstallation verhindern.

Die Hacker haben nahezu vollständige Kontrolle über die kompromittierten Geräte. Sie können Transaktionen über die installierten Bankanwendungen ausführen und dabei ihre Aktionen auf verschiedene Weise verbergen, z. B. durch Anzeigen eines schwarzen Bildschirms oder Öffnen einer Website. Die Bedrohung kann auch das Bildschirmsperrmuster für das Gerät aufzeichnen und auf Befehl wiedergeben.

Der Infektionsvektor besteht aus Phishing-E-Mails, die so aussehen, als würden sie von einem Finanzinstitut oder einem Gläubiger gesendet. Benutzer werden aufgefordert, auf Links zu klicken, die sie zu Websites führen, die von Hackern erstellt wurden. Dort wird die Malware unter dem Deckmantel anderer legitimer Anwendungen verbreitet - Google Defender, Google Text & Tabellen, WhatsApp Updater usw.

Die Ghimob-Malware verfügt im Rahmen ihres Arsenals über mehrere Gegenmaßnahmen gegen Analysen. Vor dem Start des vollständigen Vorgangs überprüft die Bedrohung das infizierte mobile Gerät auf gängige Emulatoren, mögliche Debugger, die möglicherweise mit der Manifestdatei des Prozessors verknüpft sind, und ein mögliches debuggbares Flag. Wenn eine der Überprüfungen ein positives Ergebnis liefert, beendet die Malware ihre Ausführung.