Selon l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky, un groupe de cybercriminels ciblant des institutions financières et basé au Brésil a déployé «Ghimob», un cheval de Troie bancaire Android ciblant les applications financières des banques, des sociétés de fintech, des bourses et des crypto-monnaies au Brésil, au Paraguay, au Pérou et au Portugal, en Allemagne, Angola et Mozambique.
"Ghimob est un espion à part entière dans votre poche: une fois l'infection terminée, le pirate informatique peut accéder à distance à l'appareil infecté, en effectuant la transaction frauduleuse avec le smartphone de la victime, afin d'éviter l'identification de la machine, les mesures de sécurité mises en œuvre par les institutions financières et tous leurs systèmes comportementaux anti-fraude", a déclaré la société de cybersécurité dans une analyse lundi.
Le mode opératoire consiste à utiliser les e-mails de phishing comme mécanisme de distribution du malware, incitant les utilisateurs sans méfiance à cliquer sur des URL malveillantes qui téléchargent le programme d'installation de Ghimob APK.
Le cheval de Troie, une fois installé sur l'appareil, fonctionne de manière très similaire aux autres RAT mobiles en ce sens qu'il masque sa présence en cachant l'icône de l'application et abuse des fonctionnalités d'accessibilité d'Android pour gagner en persistance, désactiver la désinstallation manuelle et permettre au cheval de Troie bancaire de capturer les touches, manipuler le contenu de l'écran et fournir un contrôle à distance complet à l'attaquant.
"Même si l'utilisateur a mis en place un schéma de verrouillage d'écran, Ghimob est capable de l'enregistrer et de le rejouer plus tard pour déverrouiller l'appareil", ont déclaré les chercheurs.
"Lorsque le cybercriminel est prêt à effectuer la transaction, il peut insérer un écran noir en superposition ou ouvrir un site Web en plein écran. Ainsi, pendant que l'utilisateur regarde cet écran, le criminel effectue la transaction en arrière-plan en utilisant l'application financière qui s'exécute sur le smartphone de la victime auquel l'utilisateur s'est ouvert ou connecté. "
De plus, Ghimob cible jusqu'à 153 applications mobiles, dont 112 institutions financières basées au Brésil, avec des applications de crypto-monnaie et bancaires en Allemagne, au Portugal, au Pérou, au Paraguay, en Angola et au Mozambique.
"Ghimob est le premier cheval de Troie bancaire mobile brésilien prêt à se développer et à cibler les institutions financières et leurs clients vivant dans d'autres pays", ont conclu les chercheurs de Kaspersky.
"Le cheval de Troie est bien préparé pour voler les informations d'identification des banques, des fintechs, des bourses, des crypto-échanges et des cartes de crédit des institutions financières opérant dans de nombreux pays."
Source : The Hacker News
