Attenzione a Ghimob, trojan che spia fino a 153 app su Android

Attenzione a Ghimob, trojan che spia fino a 153 app su Android

Ghimob è un malware che prende di mira le app dei servizi bancari, cercando di rubare credenziali per effettuare transazioni non autorizzate

di pubblicata il , alle 16:20 nel canale Sicurezza
Kaspersky
 

I ricercatori di sicurezza Kaspersky hanno individuato un nuovo malware per Android con funzionalità di accesso remoto e capace di sottrarre informazioni sensibili da svariate applicazioni: si tratta di Ghimob, un trojan prevalentemente bancario e che parrebbe sviluppato dalla stessa mano che ha animato il malware Astaroth per Windows.

Ghimob non è mai stato distribuito tramite il Play Store: la sua diffusione è avvenuta tramite campagne di phishing che conducono a siti web contraffatti, utilizzati in precedenza proprio per Astaroth. Su questi siti si trovano app e link che scimmiottano risorse ufficiali e dai nomi come Google Defender, Google Docs, WhatsApp Updater o Flash Update.

Ghimob è il malware per Android che ruba le credenziali di accesso delle app di home banking

Se una di queste app contraffatte dovesse essere scaricata e installata, essa si premura di chiedere l'autorizzazione per utilizzare i servizi di accessibilità come stadio finale del processo di compromissione. Nel caso in cui l'utente autorizzasse questa richiesta, ecco che il malware procede a individuare se nello smartphone siano presenti una o più tra 153 specifiche app per le quali mostrare pagine di login false allo scopo di appropriarsi delle credenziali di accesso dell'utente.

La maggior parte di queste app sono relative a istituti bancari brasiliani, ma i ricercatori Kaspersky hanno individuato nelle versioni più recenti del malware la possibilità di andare a spiare le app di cinque banche tedesche, tre portoghesi, due peruviane, due paraguaiane e una ciascuna per Angola e Mozambico e con ulteriori piani di espansione. E non finisce qui: oltre alle app dei servizi bancari, Ghimob prende di mira anche le app di servizi di cambio di criptovalute.

Nel caso in cui Ghimob riesca a recuperare delle credenziali, le spedisce ai suoi autori che possono così accedere agli account delle vittime ed eseguire transazioni non autorizzate. Qualora poi qualcuno di questi account dovesse essere protetto da misure di sicurezza più robuste, come autenticazione a due fattori, Ghimob consente di prendere controllo da remoto dello smartphone della vittima permettendo agli attaccanti di intercettare le misure di verifica.

Le funzionalità di Ghimob sono già state incontrate in altri trojan bancari come BlacRock o Alien. Kaspersky evidenzia infine come lo sviluppo di Ghimob segua una tendenza abbastanza comune nel panorama del malware brasiliano che vede bande molto attive inizialmente verso realtà locali, espandersi poi lentamente per colpire vittime anche in paesi esteri.

15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan10 Novembre 2020, 16:48 #1
Questo è quel che succede quando tutto quello che è sicurezza sta in un unico dispositivo come lo smartphone. Il cell è come un pc ed è attaccabile, non si possono mettere i propri soldi sopra e sperare che nessuno se ne impossessi. Ci vuole l'autenticazione a due fattori ma quella vera, quella pc-cellulare oppure cell-token fisico. Poi sappiamo bene che questo non basta e ci vuole un dispositivo sicuro e non un windows qualsiasi per metterci i soldi. Badate bene che il windows qualsiasi è android né più né meno.
gd350turbo10 Novembre 2020, 17:17 #2
Ghimob non è mai stato distribuito tramite il Play Store: la sua diffusione è avvenuta tramite campagne di phishing che conducono a siti web contraffatti,


Se una di queste app contraffatte dovesse essere scaricata e installata, essa si premura di chiedere l'autorizzazione per utilizzare i servizi di accessibilità come stadio finale del processo di compromissione.


Si ma dai !

A sto punto dagli tu direttamente gli accountì bancari !
Sam6410 Novembre 2020, 17:44 #3

Io sono per il contante

E questo uno dei tanti motivi per cui io voglio che il contante esista... e tangibile c'è l'ho in tasca ... non numeri scritti su aggeggi magnetici virtuali basta un niente per carpirli per Kraccarli ... La sicurezza vera e una Chimera.
gd350turbo10 Novembre 2020, 17:49 #4
Originariamente inviato da: Sam64
E questo uno dei tanti motivi per cui io voglio che il contante esista... e tangibile c'è l'ho in tasca ... non numeri scritti su aggeggi magnetici virtuali basta un niente per carpirli per Kraccarli ... La sicurezza vera e una Chimera.


I classici e sempre validi soldi sotto al materasso
\_Davide_/10 Novembre 2020, 21:23 #5
Originariamente inviato da: Sam64
È questo uno dei tanti motivi per cui io voglio che il contante esista... è tangibile, ce l'ho in tasca... non numeri scritti su aggeggi magnetici virtuali: basta un niente per carpirli e craccarli... La sicurezza vera è una chimera.


Beh allora cosa a aspetti a "craccarli" e diventare ricco?
djfix1311 Novembre 2020, 22:41 #6
italia non la valuta nessuno
yeppala12 Novembre 2020, 07:23 #7
Ecco il perchè io passerò a iOS14
biometallo12 Novembre 2020, 08:08 #8
Originariamente inviato da: yeppala
Ecco il perchè io passerò a iOS14


Detto così sembra che IOS sia immune ai malware, ma credo che le cose siano un po' diverse... da una brevissima ricerca:

https://www.kaspersky.it/blog/malic...-iphones/17915/


[I]Vero: siti dannosi da oltre due anni riescono a superare i meccanismi di sicurezza di iPhone
I ricercatori di Project Zero di Google hanno scoperto diversi siti hackerati che colpiscono gli iPhone da almeno due anni. Per fare ciò, i cybercriminali hanno sfruttato 14 vulnerabilità del software, 7 delle quali presenti in Safari, il browser utilizzato dalla stragrande maggioranza dei proprietari di iPhone.
[...]

Quali sono i malware installati sugli iPhone infetti?
I siti infetti riuscivano a installare degli spyware sui dispositivi delle vittime, riuscendo a ottenere autorizzazioni di accesso illimitato ai dispositivi; lavoravano in background per far sì che gli utenti non notassero nulla di strano. Estraevano i dati e li inviavano al server command-and-control con una frequenza di aggiornamento di minuto in minuto. Gli spyware erano interessati soprattutto a:

Password e token di autenticazione custoditi nel Portachiavi iCloud. I cybercriminali erano in grado di utilizzare questi dati per ottenere l’accesso costante agli account delle vittime e per impossessarsi di altri dati anche nel caso lo spyware fosse stato eliminato dal dispositivo;
Messaggi su iMessage, Hangouts, Telegram, Skype, Voxer, Viber e WhatsApp. Il malware rubava informazioni dai database delle app, dove i messaggi sono custoditi in formato non cifrato;
Messaggi sulle app di post Gmail, Yahoo, Outlook, QQmail e MailMaster. Lo spyware poteva anche ottenere questi messaggi dai corrispondenti database delle app;
Cronologia di chiamate ed SMS;
Informazioni in tempo reale sull’ubicazione del dispositivo, se attivo il GPS;
Contatti;
Foto;
Note;
Memo vocali.[/I]


Però vedo che anche se con molto ritardo alla fine hai elaborato il lutto e accettato la morte di windows 10 mobile.
Svelgen12 Novembre 2020, 08:35 #9
Originariamente inviato da: biometallo
Detto così sembra che IOS sia immune ai malware, ma credo che le cose siano un po' diverse... da una brevissima ricerca...


Dove girano dati sensibili e password che possono essere carpite in qualche modo, girano anche hacker. Normale per qualsiasi sistema operativo che è esposto a falle non conosciute e sfruttabili dai malintenzionati.
Per questo motivo, diventa di vitale importanza obbligare i produttori a rilasciare aggiornamenti costanti per i dispositivi che vendono.
Perché ad oggi, paradossalmente, sarà più a rischio un terminale Android, ancora in garanzia e che non verrà più aggiornato, rispetto a un dispositivo Apple di 4 anni e dove anche il più economico che vendono a listino, riceverà aggiornamenti come minimo per i prossimi 5 anni.
gd350turbo12 Novembre 2020, 09:06 #10
Originariamente inviato da: yeppala
Ecco il perchè io passerò a iOS14


Quindi fine del lunga vita a w10 mobile ?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^