Objetivo Tecnología | Te hacemos la vida más fácil ayudándote a elegir
Imagen de objetivotecnologia

Kaspersky alerta sobre Ghimob, un nuevo malware bancario

Kaspersky alerta sobre Ghimob, un nuevo malware bancario
Kaspersky
  • Al monitorizar una campaña de Windows del malware bancario Guildma, los investigadores de Kaspersky encontraron URLs que distribuían no sólo un archivo .ZIP malicioso para Windows, sino también un fichero que parecía ser un descargador para instalar Ghimob - un nuevo troyano bancario. Al infiltrarse en el Modo de Accesibilidad, Ghimob puede ganar en persistencia y desactivar la desinstalación manual, capturar datos, manipular el contenido de la pantalla y proporcionar al cibercriminal el control remoto completo. Según los expertos, aunque los desarrolladores de este típico troyano de acceso remoto (RAT) se dirigen principalmente a usuarios de Brasil, tienen planes para expandirse por todo el mundo. La campaña sigue activa.

Guildma, un actor de amenazas integrante de la familia de troyanos bancarios Tétrade, conocida por sus actividades maliciosas en América Latina y otras partes del mundo, ha estado trabajando en el desarrollo de nuevas técnicas, nuevos programas maliciosos y nuevas víctimas.

Su última creación - el troyano bancario Ghimob - atrae a las víctimas para que instalen el archivo malicioso a través de un correo electrónico que las engaña diciendo que tienen deudas y ofreciéndoles un enlace para informarse. Una vez que se instala el RAT, el malware procede a enviar mensajes de notificación de la infección a su servidor, incluyendo el modelo de teléfono, si este tiene activado el bloqueo de pantalla y una lista de todas las aplicaciones instaladas que el malware tiene como objetivo. En total, Ghimob puede espiar 153 apps móviles, principalmente de bancos, fintechs, apps de inversión y criptomonedas.

En cuanto a sus funcionalidades, Ghimob se convierte en un espía en el bolsillo de la víctima. Una vez realizada la infección, el ciberdelincuente puede acceder de forma remota al dispositivo infectado y completar el fraude usando el smartphone de su víctima, lo que le permite eludir la identificación automática y las medidas de seguridad y sistemas de comportamiento anti-fraude implementadas por las instituciones financieras. Incluso si el usuario utiliza un patrón de bloqueo de pantalla, Ghimob es capaz de grabarlo y reproducirlo después para desbloquear el dispositivo. Cuando el cibercriminal está listo para realizar la transacción, superpone una pantalla negra o abre un sitio web que ocupa toda la pantalla, ocultando así la transacción que este realiza en segundo plano, usando la app financiera que la víctima ha abierto o activado en su dispositivo.

Las estadísticas de Kaspersky muestran que, aparte de Brasil, los objetivos de Ghimob se encuentran en Paraguay, Perú, Portugal, Alemania, Angola y Mozambique.

"El deseo de los ciberdelincuentes latinoamericanos de crear un troyano bancario móvil a escala mundial tiene una larga historia. Primero vimos a Basbanke, luego a BRata, pero ambos estaban muy centrados en el mercado brasileño. De hecho, Ghimob es el primer troyano de banca móvil brasileño listo para la expansión internacional. Creemos que esta campaña podría estar relacionada con Guildma, un troyano bancario brasileño muy conocido, por varias razones, pero principalmente porque comparten la misma infraestructura. Recomendamos a las instituciones financieras que estén vigilantes ante estas amenazas, que mejoren sus procesos de autenticación, sus tecnologías anti-fraude y su inteligencia de datos de amenazas, y que traten de entender y mitigar todos los riesgos asociados con esta nueva familia de RAT móvil”, comenta Fabio Assolini, experto en seguridad de Kaspersky.

Los productos de Kaspersky detectan esta familia como Trojan-Banker.AndroidOS.Ghimob.

Para mantenerse a salvo de RAT y de las amenazas bancarias, Kaspersky recomienda tomar las siguientes medidas de seguridad:

  • Proporcione a su equipo SOC acceso a la última información sobre amenazas (TI). Kaspersky Threat Intelligence Portal proporciona al departamento de TI de la compañía acceso a datos de ciberataques y a los conocimientos reunidos por Kaspersky durante más de 20 años.
  • Eduque a sus clientes sobre los posibles trucos que los ciberdelincuentes pueden usar. Envíeles regularmente información sobre cómo identificar el fraude y comportarse en esta situación.
  • Implemente una solución antifraude, como Kaspersky Fraud Prevention. Puede proteger el canal móvil de las incidencias que se producen cuando los atacantes utilizan el control remoto para realizar una transacción fraudulenta. La solución puede detectar el malware RAT en el dispositivo e identificar signos de control remoto a través de un software legal.

Para más información sobre las nuevas amenazas documentadas anteriormente, lea el informe completo en Securelist.

Kaspersky

Kaspersky es una compañía global de ciberseguridad fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 250.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es

Agregar comentario

Plain text

  • Etiquetas HTML permitidas: <strong>
  • No se permiten etiquetas HTML.
  • Saltos automáticos de líneas y de párrafos.
CAPTCHA
Queremos saber si es un visitante humano y prevenir envíos de spam
By submitting this form, you accept the Akismet privacy policy.

También te puede interesar