Ghimob: nuevo troyano bancario para Android ataca apps financieras

Android Malware

Después de un análisis más profundo de la versión móvil de Guildma, una familia de troyanos bancarios anunciada a finales de septiembre, Kaspersky descubrió características únicas de la ciberamenaza y decidió clasificar esta nueva versión del troyano centrada en teléfonos móviles Android como una nueva familia: Ghimob. Entre los principales hallazgos está la confirmación de que el troyano está listo para operar fuera de Brasil, donde ya cuenta con activas campañas masivas, y que tiene en la mira a bancos, fintechs, y corredurías, tanto de valores como de criptomonedas, ubicados en América Latina, Europa y África.

Para llevar a cabo la infección del celular, los delincuentes detrás de Ghimob lanzan campañas de phishing masivas que alertan sobre una supuesta deuda e incluyen un enlace para que la víctima obtenga más detalles. Tan pronto el usuario hace clic, se instala un RAT (troyano que otorga acceso remoto), el cual envía un mensaje al cibercriminal indicándole que la infección fue exitosa junto con información sobre el modelo del teléfono, si la pantalla cuenta con bloqueo de seguridad y una lista de todas las aplicaciones en el dispositivo de la víctima que el malware puede atacar.

Ghimob cuenta con una extensa lista de aplicaciones que puede espiar, la cual incluye a más de 110 apps de instituciones bancarias en Brasil. Además, el troyano también tiene como objetivo aplicaciones de criptomonedas de diferentes países, sistemas de pago internacionales y banca móvil de instituciones que operan en Alemania, Portugal, Perú, Paraguay, Angola y Mozambique.

En cuanto a su funcionalidad, Ghimob es un completo espía en el bolsillo. Una vez realizada la infección, el cibercriminal puede acceder de forma remota al dispositivo infectado y completar el fraude usando el smartphone de su víctima, lo que le permite eludir la identificación automática y las medidas de seguridad, así como sistemas de comportamiento anti-fraude implementadas por las instituciones financieras. Incluso, si el usuario utiliza un patrón de bloqueo de pantalla, Ghimob tiene la habilidad de grabarlo y reproducirlo para desbloquear el dispositivo. Cuando el cibercriminal está listo para realizar la transacción, superpone una pantalla negra o abre un sitio web que ocupa toda la pantalla, ocultando así la transacción que este realiza en segundo plano usando la app financiera que la víctima ha abierto o activado. La pantalla negra se usa para obligar a la víctima a usar sus datos biométricos para “desbloquear la pantalla” y así burlar esta medida de autenticación empleada por las apps financieras.

Para estar protegido contra las amenazas RAT y otros ataques financieros, Kaspersky recomienda tomar las siguientes medidas de seguridad:

  • Proporcione a su equipo de seguridad operativa (SOC) acceso a la información más reciente sobre nuevas amenazas (Threat Intelligence), como el portal de Kaspersky, que ofrece datos de ciberataques recopilados por la empresa durante más de 20 años.
  • Informe a sus clientes sobre los trucos que emplean los malhechores. Envíeles información periódica sobre cómo identificar el fraude y cómo eliminarlo.

Deja un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.