Attenzione a Ghimob, trojan che spia fino a 153 app su Android
Ghimob è un malware che prende di mira le app dei servizi bancari, cercando di rubare credenziali per effettuare transazioni non autorizzate
di Andrea Bai pubblicata il 10 Novembre 2020, alle 16:20 nel canale SicurezzaKaspersky
I ricercatori di sicurezza Kaspersky hanno individuato un nuovo malware per Android con funzionalità di accesso remoto e capace di sottrarre informazioni sensibili da svariate applicazioni: si tratta di Ghimob, un trojan prevalentemente bancario e che parrebbe sviluppato dalla stessa mano che ha animato il malware Astaroth per Windows.
Ghimob non è mai stato distribuito tramite il Play Store: la sua diffusione è avvenuta tramite campagne di phishing che conducono a siti web contraffatti, utilizzati in precedenza proprio per Astaroth. Su questi siti si trovano app e link che scimmiottano risorse ufficiali e dai nomi come Google Defender, Google Docs, WhatsApp Updater o Flash Update.
Ghimob è il malware per Android che ruba le credenziali di accesso delle app di home banking
Se una di queste app contraffatte dovesse essere scaricata e installata, essa si premura di chiedere l'autorizzazione per utilizzare i servizi di accessibilità come stadio finale del processo di compromissione. Nel caso in cui l'utente autorizzasse questa richiesta, ecco che il malware procede a individuare se nello smartphone siano presenti una o più tra 153 specifiche app per le quali mostrare pagine di login false allo scopo di appropriarsi delle credenziali di accesso dell'utente.
La maggior parte di queste app sono relative a istituti bancari brasiliani, ma i ricercatori Kaspersky hanno individuato nelle versioni più recenti del malware la possibilità di andare a spiare le app di cinque banche tedesche, tre portoghesi, due peruviane, due paraguaiane e una ciascuna per Angola e Mozambico e con ulteriori piani di espansione. E non finisce qui: oltre alle app dei servizi bancari, Ghimob prende di mira anche le app di servizi di cambio di criptovalute.
Nel caso in cui Ghimob riesca a recuperare delle credenziali, le spedisce ai suoi autori che possono così accedere agli account delle vittime ed eseguire transazioni non autorizzate. Qualora poi qualcuno di questi account dovesse essere protetto da misure di sicurezza più robuste, come autenticazione a due fattori, Ghimob consente di prendere controllo da remoto dello smartphone della vittima permettendo agli attaccanti di intercettare le misure di verifica.
Le funzionalità di Ghimob sono già state incontrate in altri trojan bancari come BlacRock o Alien. Kaspersky evidenzia infine come lo sviluppo di Ghimob segua una tendenza abbastanza comune nel panorama del malware brasiliano che vede bande molto attive inizialmente verso realtà locali, espandersi poi lentamente per colpire vittime anche in paesi esteri.
Recensione Samsung Galaxy S26 Ultra: finalmente qualcosa di nuovo
Diablo II Resurrected: il nuovo DLC Reign of the Warlock
Deep Tech Revolution: così Area Science Park apre i laboratori alle startup
5 robot aspirapolvere bestseller al minimo storico: Dreame, ECOVACS ed Eureka con sconti mai visti
A 59 anni il mio primo hackathon: dieci ore di Vibe Coding contro ragazzi che potevano essere miei figli
Come sfruttare le Offerte di Primavera per aggiornare il proprio PC: GPU, CPU, monitor e molto altro in offerta
NVIDIA promette un salto enorme: path tracing fino a 1 milione di volte più veloce
Il meglio di Amazon in 23 articoli: super sconti, di primavera o no, con cui risparmiare tantissimo
Questo portatile MSI da 16" OLED 3840x2400 pixel, Ryzen AI 9 e 32GB RAM crolla a 1.149€: più unico che raro
DirectX, prove tecniche di futuro: machine learning nella pipeline grafica e shader precompilati per il PC gaming
Le analisi di ALMA sulla cometa interstellare 3I/ATLAS mostrano la presenza di metanolo e acido cianidrico
La missione cinese Tianwen-3 per portare sulla Terra campioni di Marte prende forma, lancio nel 2028
Un satellite di HEO Space ha catturato un'immagine del satellite AST SpaceMobile BlueBird 6
Mini LED 144Hz a prezzo folle: questo Hisense 55" 4K costa solo 334€ su Amazon (ma serve Prime)
Novità per Fortinet: arrivano FortiOS 8.0 e nuovi aggiornamenti per Fortinet Security Operations.
Volkswagen e Xpeng, il SUV è realtà: ID. Unyx 08 in produzione con architettura da 800V
Volkswagen ribattezza ID.3 e le dà un motore più efficiente: ecco ID.3 Neo con batteria LFP e One Pedal Driving
12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoSi ma dai !
A sto punto dagli tu direttamente gli accountì bancari !
Io sono per il contante
E questo uno dei tanti motivi per cui io voglio che il contante esista... e tangibile c'è l'ho in tasca ... non numeri scritti su aggeggi magnetici virtuali basta un niente per carpirli per Kraccarli ... La sicurezza vera e una Chimera.I classici e sempre validi soldi sotto al materasso
Beh allora cosa a aspetti a "craccarli" e diventare ricco?
Detto così sembra che IOS sia immune ai malware, ma credo che le cose siano un po' diverse... da una brevissima ricerca:
https://www.kaspersky.it/blog/malic...-iphones/17915/
[I]Vero: siti dannosi da oltre due anni riescono a superare i meccanismi di sicurezza di iPhone
I ricercatori di Project Zero di Google hanno scoperto diversi siti hackerati che colpiscono gli iPhone da almeno due anni. Per fare ciò, i cybercriminali hanno sfruttato 14 vulnerabilità del software, 7 delle quali presenti in Safari, il browser utilizzato dalla stragrande maggioranza dei proprietari di iPhone.
[...]
Quali sono i malware installati sugli iPhone infetti?
I siti infetti riuscivano a installare degli spyware sui dispositivi delle vittime, riuscendo a ottenere autorizzazioni di accesso illimitato ai dispositivi; lavoravano in background per far sì che gli utenti non notassero nulla di strano. Estraevano i dati e li inviavano al server command-and-control con una frequenza di aggiornamento di minuto in minuto. Gli spyware erano interessati soprattutto a:
Password e token di autenticazione custoditi nel Portachiavi iCloud. I cybercriminali erano in grado di utilizzare questi dati per ottenere l’accesso costante agli account delle vittime e per impossessarsi di altri dati anche nel caso lo spyware fosse stato eliminato dal dispositivo;
Messaggi su iMessage, Hangouts, Telegram, Skype, Voxer, Viber e WhatsApp. Il malware rubava informazioni dai database delle app, dove i messaggi sono custoditi in formato non cifrato;
Messaggi sulle app di post Gmail, Yahoo, Outlook, QQmail e MailMaster. Lo spyware poteva anche ottenere questi messaggi dai corrispondenti database delle app;
Cronologia di chiamate ed SMS;
Informazioni in tempo reale sull’ubicazione del dispositivo, se attivo il GPS;
Contatti;
Foto;
Note;
Memo vocali.[/I]
Però vedo che anche se con molto ritardo alla fine hai elaborato il lutto e accettato la morte di windows 10 mobile.
Quindi fine del lunga vita a w10 mobile ?
Lunga vita a Windows 10 Mobile !
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".