Ghimob Malware

Ghimob Malware es una nueva amenaza de troyano bancario lanzada por los mismos actores de amenazas que fueron responsables del malware de Windows Astaroth (Guildma). Parece que con Ghimob, los piratas informáticos están siguiendo la tendencia más amplia entre los ciberdelincuentes brasileños de expandir sus operaciones de un nivel local a un nivel mundial. Como tal, Ghimob está equipado con funcionalidad para recopilar credenciales, un total de 152 aplicaciones móviles diferentes pertenecientes a bancos, empresas de tecnología financiera, intercambios y, últimamente, criptomonedas de una amplia gama de países. Si bien la mayoría de las aplicaciones específicas, 112 para ser precisos, todavía son de Brasil, puede afectar a 13 aplicaciones de criptomonedas y nueve sistemas de pago de diferentes países. Además, puede crear páginas de inicio de sesión de phishing para cinco aplicaciones bancarias alemanas, tres aplicaciones de Portugal, dos de Perú y Paraguay, y una aplicación de Angola y Mozambique cada una.

Si bien el objetivo principal de Ghimob Malware es robar credenciales y detalles bancarios, tiene las capacidades de una amenaza de software espía en toda regla. Recopila y extrae varios datos del sistema del dispositivo, incluido el modelo de teléfono, si hay un bloqueo de pantalla activo y una lista de todas las aplicaciones instaladas en él. Al abusar de los privilegios del modo de accesibilidad que solicita, Ghimob puede lograr la persistencia en el dispositivo y evitar cualquier intento de desinstalación manual.

Los piratas informáticos tienen un control casi completo sobre los dispositivos comprometidos. Pueden ejecutar transacciones a través de las aplicaciones bancarias instaladas mientras ocultan su acción a través de varios medios, como mostrar una superposición de pantalla negra o abrir un sitio web. La amenaza también puede registrar el patrón de bloqueo de pantalla del dispositivo y reproducirlo cuando se lo solicite.

El vector de infección es a través de correos electrónicos de phishing diseñados para que parezcan enviados por una institución financiera o un acreedor. Se anima a los usuarios a hacer clic en los enlaces que los llevan a sitios web creados por piratas informáticos. Allí, el malware se distribuye bajo la apariencia de otras aplicaciones legítimas: Google Defender, Google Docs, WhatsApp Updater, etc.

Ghimob Malware tiene varias contramedidas anti-análisis como parte de su arsenal. Antes de iniciar sus operaciones a gran escala, la amenaza verifica el dispositivo móvil infectado en busca de emuladores comunes, cualquier depurador potencialmente vinculado a su archivo de manifiesto del procesador y una posible marca depurable. Si alguna de las comprobaciones arroja un resultado positivo, el malware finaliza su ejecución.