更多全球网络安全资讯尽在邑安全
恶意软件概述Guildma是Tétrade银行木马家族中的一员,它一直致力于引进新技术,创建新的恶意软件,并攻击新的目标用户。最近,他们的新产品Ghimob银行木马已经开始将魔抓伸向移动设备了,其主要攻击目标为巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克的银行、交易所以及加密货币相关的金融领域应用程序。
Ghimob一旦成功感染了目标设备,攻击者就能够远程访问受感染的设备,并使用目标用户的智能手机完成欺诈交易,从而绕过机器识别、金融安全措施以及其他的反欺诈行为系统。即使用户设置了屏幕锁定模式,Ghimob也可以录制并通过回放录屏以解锁设备。当网络犯罪分子准备好进行交易时,他们可以插入一个黑屏作为覆盖物,或者全屏打开某个网站,因此当用户查看该屏幕时,罪犯在后台使用用户打开或登录的受害者智能手机上运行的金融应用程序来执行交易。
从技术角度来看,Ghimob还是很有意思的,它所使用的C2带有Cloudflare保护,从而隐藏真正的C2服务器。但是,目前我们还没发现Ghimob有向MaaS(恶意软件即服务)发展的迹象。与源自巴西的另一个手机银行木马家族BRATA或Basbanke相比,Ghimob要先进得多,功能更丰富,持久性也很强。
多平台金融攻击在监控Windows端Guildma恶意软件活动时,我们找到了用于分发Windows安装程序或APK文件的ZIP文件的URL地址,而这些最终指向的都是同一个URL。如果点击恶意链接的用户代理是基于Android的浏览器,则下载的文件将是GhimobAPK安装程序。
这些APK会伪装成热门应用程序的安装器,它们没有托管在GooglePlay上,而是托管在Guildma攻击者注册的几个恶意域名上。一旦目标用户安装了恶意APK之后,恶意软件将会利用手机的辅助模式来实现持久感染,禁止用户手动卸载,并允许银行木马捕捉数据、操纵屏幕内容并为攻击者提供完整的远程控制,这就是一个典型的移动端RAT。
我们的遥测数据显示,Ghimob移动端银行木马所有的受感染用户都位于巴西地区,跟Tétrade银行木马家族中的其他成员一样,Ghimob同样计划向海外扩张。
为了诱使受害者安装恶意软件,电子邮件的编写方式就像是由债权人发出的一样,并提供了一个链接,收件人可以在其中
本文编辑:佚名
转载请注明出地址 http://www.yasongsen.com/yssms/5531.html
