En observant une campagne Windows à partir du malware bancaire Guildma, les chercheurs de Kaspersky ont trouvé des URL distribuant non seulement un fichier. ZIP malveillant pour Windows, mais également un fichier malveillant qui s’avère être un téléchargement pour installer Ghimob – un nouveau cheval de Troie bancaire. Lors de l’infiltration du mode d’accessibilité, Ghimob peut gagner en persistance et désactiver la désinstallation manuelle, capturer des données, manipuler le contenu de l’écran et fournir un contrôle à distance complet aux acteurs en backoffice.
Selon les experts, les développeurs de ce cheval de Troie très typique d’accès mobile à distance (RAT) se concentrent fortement sur les utilisateurs au Brésil, mais ont de grands projets de développement à travers le monde. La campagne est toujours active.
Guildma, un acteur malveillant faisant partie de la tristement célèbre série Tétrade, connue pour ses activités malveillantes évolutives en Amérique latine et dans d’autres régions du monde, travaille activement sur de nouvelles techniques, développant des logiciels malveillants et ciblant de nouvelles victimes. Sa nouvelle création – le cheval de Troie bancaire Ghimob – incite les victimes à installer le fichier malveillant via un e-mail qui suggère à la personne qui le reçoit qu’elle a une sorte de dette. L’e-mail comprend également un lien sur lequel la victime peut cliquer pour obtenir plus d’informations. Une fois le RAT installé, le malware envoie un message sur la réussite de l’infection à son serveur. Le message inclut le modèle du téléphone, s’il dispose de la sécurité de l’écran de verrouillage et une liste de toutes les applications installées que le malware peut cibler. Au total, Ghimob peut espionner 153 applications mobiles, principalement celles des banques, des sociétés de fintech, des crypto-monnaies et des bourses.
En ce qui concerne les fonctions, Ghimob est un espion dans la poche de la victime. Les développeurs peuvent accéder à l’appareil infecté à distance, en finalisant la fraude à l’aide du smartphone du propriétaire afin d’éviter l’identification de l’outil et les mesures de sécurité mises en œuvre par les institutions financières et tous leurs systèmes comportementaux anti-fraude.
Même si l’utilisateur utilise un modèle d’écran de verrouillage, Ghimob est capable de l’enregistrer et de le refaire marcher pour déverrouiller l’appareil. Lorsque les développeurs sont prêts à exécuter une transaction frauduleuse, ils peuvent insérer une superposition d’écran noir ou ouvrir certains sites Web en plein écran. Ensuite, pendant que l’utilisateur regarde cet écran, les développeurs effectuent la transaction frauduleuse en arrière-plan, en utilisant l’application financière déjà ouverte ou connectée en cours d’exécution sur l’appareil.
Les statistiques de Kaspersky montrent qu’à part le Brésil, les cibles de Ghimob sont situées au Paraguay, au Pérou, au Portugal, en Allemagne, en Angola et au Mozambique.
« Ce n’est malheureusement pas nouveau que les cybercriminels d’Amérique Latine cherchent à donner une portée mondiale à un Cheval de Troie bancaire mobile. Nous avons déjà vu Basbanke, puis BRata, mais tous deux étaient finalement restés fortement concentrés sur le marché brésilien. Ghimob est le premier cheval de Troie bancaire mobile brésilien prêt pour une expansion internationale… Nous recommandons aux institutions financières de surveiller ces menaces de très près, tout en améliorant leurs processus d’authentification, en renforçant la technologie anti-fraude et les données de renseignement sur les menaces, et en essayant de comprendre et d’atténuer tous les risques de cette nouvelle famille RAT mobile », commente Fabio Assolini, expert en sécurité chez Kaspersky.
Les solutions Kaspersky détectent la nouvelle famille sous le nom de Trojan-Banker.AndroidOS.Ghimob.
Pour rester à l’abri des RAT et des menaces bancaires, Kaspersky recommande de prendre les mesures de sécurité suivantes :
- Fournir à votre équipe SOC un accès aux derniers renseignements sur les menaces (TI). Le portail Kaspersky Threat Intelligence donne accès aux TI de l’entreprise, fournissant des données sur les cyberattaques et des observations recueillies par Kaspersky depuis plus de 20 ans.
- Informer vos clients sur les astuces possibles que les malfaiteurs peuvent utiliser. Leur envoyer régulièrement des informations sur la manière d’identifier la fraude et de se comporter dans cette situation.
- Mettre en place une solution anti-fraude, telle que Kaspersky Fraud Prevention. Elle peut protéger le canal mobile contre les incidents lorsque des malfaiteurs utilisent l’accès à distance pour effectuer une transaction frauduleuse. En guise de protection, la solution peut à la fois détecter les logiciels malveillants RAT sur l’appareil et identifier les signes de contrôle à distance via un logiciel légal. Pour plus de détails sur les nouvelles menaces documentées ci-dessus, lisez le rapport complet sur Securelist.