Kaspersky araştırmacıları Guildma bankacılık kötü amaçlı yazılımının Windows üzerindeki bir kampanyasını izlerken, yalnızca Windows için kötü amaçlı bir ZIP dosyasını yüklemekle kalmayıp, aynı zamanda yeni bir bankacılık Truva Atı olan Ghimob'u yüklemek için indirici gibi davranan kötü amaçlı bir dosyayı dağıtan URL'lerle karşılaştı. Erişilebilirlik Moduna sızdıktan sonra Ghimob kalıcılık kazanabiliyor, manuel kaldırmayı devre dışı bırakabiliyor, verileri yakalayabiliyor, ekran içeriğini değiştirebiliyor ve saldırganlara uzaktan kontrol yetkisi sağlayabiliyor. Uzmanlara göre bu tipik mobil Uzaktan Erişim Truva Atı'nın (RAT) geliştiricileri ağırlıklı olarak Brezilya'daki kullanıcılara odaklanıyor, ancak dünya çapında genişleme planları var. Kampanya halen aktif durumda.
Hem Latin Amerika'da hem de dünyanın diğer bölgelerinde geniş ölçekli kötü niyetli faaliyetleriyle tanınan kötü şöhretli Tétrade serisinin bir parçası olan Guildma, yeni teknikler üzerinde aktif olarak çalışıyor, kötü amaçlı yazılımlar geliştiriyor ve yeni kurbanları hedef alıyor.
Tehdidin yeni eseri olan Ghimob bankacılık Truva Atı’nın arkasındakiler, kurbanlarına bir tür borcu olduğunu öne süren bir e-posta göndererek kötü amaçlı dosyayı yüklemeye ikna ediyor. E-posta ayrıca kurbanın daha fazla bilgi edinebilmesi için tıklayabileceği bir bağlantı içeriyor. RAT yüklendikten sonra kötü amaçlı yazılım, sunucusuna başarılı bulaşma hakkında bir mesaj gönderiyor. Mesaj telefonun modelini, kilit ekranı güvenliğine sahip olup olmadığını ve kötü amaçlı yazılımın hedefleyebileceği tüm yüklü uygulamaların bir listesini raporluyor. Ghimob çoğunlukla bankalardan, fintech şirketlerinden, kripto para birimlerinden ve borsalardan oluşan 153 mobil uygulamayı gözetleyebiliyor.
Fonksiyonları itibariyle Ghimob kurbanın cebine bir casus gibi yerleşiyor. Geliştiriciler, finansal kurumların kullandığı dolandırıcılık önleme davranış sistemleri tarafından uygulanan makine tanımlama ve güvenlik önlemlerinden kaçınmak amacıyla, dolandırıcılık adımlarını bulaştığı akıllı telefondan tamamlamak üzere virüslü cihaza uzaktan erişebiliyor. Kullanıcı bir kilit ekranı deseni kullansa bile Ghimob bunu kaydediyor ve cihazın kilidini açmak için tekrar oynatıyor. Geliştiriciler hileli bir işlem yapmaya hazır olduklarında, siyah ekran yerleşimi ekleyebiliyor veya bazı web sitelerini tam ekran olarak açabiliyor. Ardından kullanıcı o ekranı görüntülerken, geliştiriciler cihazda çalışan zaten açılmış veya oturum açmış finansal uygulamayı kullanarak arka planda dolandırıcılık işlemini gerçekleştiriyor.
Kaspersky istatistikleri, Ghimob’un hedeflerinin Brezilya dışında Paraguay, Peru, Portekiz, Almanya, Angola ve Mozambik'te bulunduğunu gösteriyor.
Kaspersky Güvenlik Uzmanı Fabio Assolini, "Latin Amerikalı siber suçluların dünya çapında erişime sahip bir mobil bankacılık Truva Atına ulaşma arzusu uzun bir geçmişe sahip” diyor. “Bunun bir yansıması olarak Basbanke'yi ve ardından BRata'yı daha önce görmüştük. Ancak her ikisi de ağırlıklı olarak Brezilya pazarına odaklanmıştı. Ghimob ise uluslararası genişlemeye hazır ilk Brezilya mobil bankacılık Truva Atı. Bu yeni kampanyanın, tanınmış bir Brezilya bankacılık Truva Atı'ndan sorumlu Guildma tehdit aktörü ile ilgili olabileceğine inanıyoruz. Bunun birkaç nedeni var, ancak temelde aynı altyapıyı paylaşıyorlar. Finansal kuruluşların kimlik doğrulama süreçlerini iyileştirirken, sahtekarlıkla mücadele teknolojisini ve tehdit istihbaratı verilerini güçlendirirken bu yeni mobil RAT ailesinin tüm risklerini anlamalarını ve yakından izlemelerini öneriyoruz.”
Kaspersky ürünleri yeni aileyi Trojan-Banker.AndroidOS.Ghimob olarak algılıyor.
Kaspersky, RAT ve bankacılık tehditlerinden korunmak için aşağıdaki güvenlik önlemlerinin alınmasını öneriyor:
SOC ekibinizin en son tehdit istihbaratına (TI) erişim sağlayın. Kaspersky Tehdit İstihbarat Portalı, Kaspersky tarafından 20 yıldan fazla bir süredir toplanan siber saldırı verilerini ve içgörüleri size sağlar.
Müşterilerinizi kötü niyetli kişilerin kullanabileceği olası teknik ve hileler konusunda eğitin. Onlarla düzenli olarak dolandırıcılığı nasıl tespit edecekleri ve bu durumda nasıl davranacakları hakkında bilgi paylaşın.
Kaspersky Fraud Prevention gibi bir dolandırıcılık önleme çözümü uygulayın. Böylece saldırganlar hileli bir işlem gerçekleştirmek için uzaktan kontrolü devreye aldığında, mobil kanalı bu müdahaleden koruyabilirsiniz. Çözüm, koruma için hem cihazdaki RAT kötü amaçlı yazılımını tespit edebilir hem de yasal yazılım aracılığıyla uzaktan kontrol belirtilerini belirleyebilir.