Ghimob: trojan envia links falsos de dívidas para invadir celulares

Brasil é o principal afetado pela derivação da versão móvel do Guildma; alvos são corretoras de valores e de criptomoedas, fintechs e bancos

Thais Reis, editado por Fabiana Rolfini 10/11/2020 15h11
Smartphone com dono desbloqueando tela
A A A

Especialistas em cibersegurança descobriram um trojan bancário cujas campanhas massivas estão ativas principalmente no Brasil. O Ghimob deriva da versão móvel do Guildma e infecta celulares quando usuários clicam em links falsos de pagamentos de dívidas enviados por e-mail.


Os alvos do ataque, que se estende a outros países da América Latina, África e Europa, são corretoras de valores e de criptomoedas, fintechs e bancos.

Ao ser instalado em um smartphone, o trojan de acesso remoto (RAT - Remote Access Trojan) envia mensagens ao cibercriminoso com detalhes do aparelho infectado, informações da tela de bloqueio de segurança e a lista de aplicativos instalados. Assim, o Ghimob atua como um espião e fornece o que um hacker precisa para acessar as aplicações de bancos e prejudicar os usuários.

Pxhere/Reprodução

Celulares podem ser infectados quando o usuário abre uma mensagem sobre dívida e clica em um link malicioso. Imagem: Pxhere/Reprodução

 

“Um trojan com alcance global para realizar fraudes no mobile banking era um desejo de longa data dos cibercriminosos latino-americanos. Já tivemos o Basbanke e o Brata, mas estes atuam mais focados no mercado brasileiro. Por isso, o Ghimob é o primeiro pronto para ser internacionalizado e acreditamos que isso não vá demorar, uma vez que ele compartilha a mesma infraestrutura do Guildma”, comenta Fabio Assolini, especialista de segurança da Kaspersky no Brasil.

 

Infecção de smartphones

Os cibercriminosos usam o trojan para acessar remotamente o aparelho infectado e fazer transações em nome da vítima. Em comparação com o Brata ou Basbanke, outra família de trojans bancários móveis originária do Brasil, Ghimob é muito mais avançado e mais rico em recursos.

Quando o dono do celular clica no e-mail malicioso recebido, o instalador GHimob APK é baixado e, caso seu downloado seja aceito, a instalação começa.

 

Kaspersky/Reprodução

E-mail com link malicioso engana o usuário ao se passar por cobrança de dívida. Imagem: Kaspersky/Reprodução

 

O Ghimob também pode destravar o celular, mesmo que o dono do aparelho tenha definido uma senha ou um padrão de desenho de bloqueio. Assim, consegue evitar a detecção de fraude por tecnologias, como fingerprint e um sistema antifraude (detecção por comportamento do usuário). 

No momento em que as transações estão em curso, os hackers inserem uma tela preta, branca ou algum site em tela cheia para mascarar a atividade. “A tela preta ainda é usada para forçar a vítima a usar a biometria para destravar a tela e, assim, roubar esta forma de autenticação”, alerta Assolini.

 Kaspersky/ReproduçãoMapa mostra lugares onde ocorreram ataques do Ghimob. Imagem: Kaspersky/Reprodução

 

De acordo com os especialistas em cibersegurança, o que chama ainda mais a atenção no caso do Ghimob é a lista extensa de aplicativos que podem ser espionados, que chega as 153 aplicações móveis. Apenas no Brasil, 112 apps de instituições financeiras podem ter suas credenciais de seus clientes roubadas. 

Para complicar o cenário, a ameaça pode afetar 13 apps de criptomoeda de diversos países e nove aplicações de sistemas internacionais de pagamento.

Além disso, também não estão livres o mobile banking de instituições que operam na Alemanha (5), Portugal (3), Peru (2 ), Paraguai (2), Moçambique (1) e Angola (1).

“Recomendamos que as instituições financeiras acompanhem essas ameaças de perto para aprimorar seus processos de autenticação e tecnologias antifraudes com dados de inteligência de ameaças. Compreender sua ação é a maneira mais eficaz de mitigar os riscos desta nova família de RAT móvel”, destaca Assolini.

 


Hackers trojan ciberataque smartphone
Assinar newsletter
Assine nossas newsletters e receba conteúdos em primeira mão
enviando dados - aguarde...
Parabéns! Sua assinatura foi recebida com sucesso!
Atenção: Em instantes você receberá um email de confirmação da assinatura. Para efetivá-la, clique no link de confirmação que você receberá. Verifique também sua caixa de SPAM, pois por se tratar de um email automático, seu servidor de emails poderá identificar incorretamente a mensagem como não solicitada.
Compras na Internet? Para aproveitar as melhores ofertas, baixe a nova extensão do Olhar Digital. Além da garantia do melhor preço, você ainda ganha descontos em várias lojas. Clique aqui para instalar a extensão Olhar Digital Ofertas em seu navegador!

Recomendados pra você