Kaspersky-Forscher haben einen neuen Banking-Trojaner gefunden, der Nutzer in Deutschland, aber auch weltweit attackiert. Der Remote Access Trojaner (RAT) ,Ghimob‘ wurde im Zuge der Überwachung einer gegen Windows gerichteten, maliziösen Kampagne durch die Banking-Malware Guildma entdeckt. Dabei haben die Kaspersky-Forscher URLs, die nicht nur eine schädliche .ZIP-Datei für Windows verbreiteten, sondern auch einen Downloader für Ghimob entdeckt. Nach dem Infiltrieren des Bedienungshilfe-Modus kann Ghimob Persistenz erlangen und eine manuelle Deinstallation deaktivieren, Daten erfassen, Bildschirminhalte manipulieren und den Cyberkriminellen die vollständige Remote-Steuerung ermöglichen.
Guildma, einer der Bedrohungsakteure hinter der berüchtigten Tétrade-Malwarefamilie – für seine skalierbaren, schädlichen Aktivitäten sowohl in Lateinamerika als auch in anderen Teilen der Welt bekannt – arbeitet aktiv an neuen Techniken, entwickelt Malware und hat neue Opfer im Visier.
Der neue Banking-Trojaner Ghimob versucht die Opfer dazu zu verlocken, die schädliche Datei über eine E-Mail zu installieren, die darauf hinweist, dass man Schulden hätte. Die Mail enthält dabei einen Link, der zu vermeintlich weiteren Informationen führt. Sobald der Remote Access Trojaner (RAT) installiert ist, sendet die Malware eine Nachricht über die erfolgreiche Infektion an den Server. Diese enthält Informationen zum Telefonmodell, die Angabe, ob es über eine Bildschirmsperre verfügt, und eine Liste aller installierten Anwendungen, die die Malware attackieren kann. Ghimob kann 153 unterschiedliche Apps ausspionieren – es handelt sich dabei überwiegend um Anwendungen von Banken, Fintech-Unternehmen, Kryptowährungen und Börsen. Fünf dieser Apps stammen von Banken in Deutschland.
Der von #Kaspersky gefundene Banking-Trojaner kann 5 Apps deutscher Banken ausspionieren.
Tweet
Funktional gesehen ist Ghimob ein Spion, den sein Opfer ständig mit sich herumträgt. Die Cyberkriminellen können per Fernzugriff auf das infizierte Gerät zugreifen und betrügerische Aktivitäten ausführen. Durch die Verwendung des Smartphones des Opfers können sie vermeiden, dass Finanzinstitute und deren Anti-Fraud-Systeme sie erkennen identifizieren und daraufhin Sicherheitsmaßnahmen ergreifen. Selbst wenn der Nutzer ein Sperrbildschirmmuster verwendet, ist Ghimob in der Lage, dieses aufzunehmen und abzuspielen, um das Gerät zu entsperren.
Bei der Durchführung einer betrügerischen Transaktion können die Angreifer ein schwarzes Bildschirm-Overlay anzeigen oder einige Webseiten im Vollbildmodus öffnen. Der Betrugsprozess wird, während der Nutzer auf seinen Bildschirm blickt, im Hintergrund ausgeführt. Hierbei werden bereits geöffnete oder in angemeldeten Finanz-Apps genutzt, die auf dem Gerät installiert sind.
Die Ziele von Ghimob befinden sich in Brasilien, Paraguay, Peru, Portugal, Deutschland, Angola und Mosambik.
„Der Wunsch lateinamerikanischer Cyberkrimineller nach einem mobilen Banking-Trojaner mit weltweiter Reichweite hat eine lange Geschichte“, kommentiert Fabio Assolini, Sicherheitsexperte bei Kaspersky. „Wir haben bereits Basbanke und BRata identifiziert, die jedoch beide stark auf den brasilianischen Markt ausgerichtet waren. Tatsächlich ist Ghimob der erste brasilianische Mobile-Banking-Trojaner, der für die internationale Expansion bereit ist. Wir denken, dass diese neue Kampagne mit dem Guildma-Bedrohungsakteur in Verbindung gebracht werden kann, der für einen bekannten brasilianischen Banking-Trojaner verantwortlich ist. Indiz hierfür ist unter anderem insbesondere die Nutzung derselben Infrastruktur. Wir empfehlen Finanzinstituten, diese Bedrohungen genau zu beobachten und gleichzeitig ihre Authentifizierungsverfahren zu optimieren, die Qualität ihrer Betrugsbekämpfungstechnologie und den Einblick in aktuelle Bedrohungsdaten zu verbessern sowie zu versuchen, alle Risiken dieser neuen mobilen RAT-Familie zu verstehen und zu minimieren.“
Kaspersky-Produkte erkennen die neue Malware als Trojan-Banker.AndroidOS.Ghimob.
Alle Details und IoCs, die mit dieser Bedrohung in Verbindung stehen, werden den Nutzern der Financial-Threat-Intelligence-Dienste von Kaspersky zur Verfügung gestellt.
Kaspersky-Tipps zum Schutz vor RAT- und Banking-Bedrohungen
- SOC-Teams sollten stets Zugang zu den neuesten Bedrohungsinformationen haben. Das Kaspersky Threat Intelligence Portal bietet Zugriff auf die Threat Intelligence des Unternehmens und stellt Daten und Erkenntnisse zu Cyberangriffen zur Verfügung.
- Zur Erkennung, Untersuchung und rechtzeitigen Behebung von Vorfällen auf Endpunktebene sollte eine zuverlässige EDR-Lösung wie Kaspersky Endpoint Detection and Response implementiert werden.
- Um Unternehmensgeräte vor schädlichen Anwendungen zu schützen, sollte eine Endpoint-Lösung mit Funktionen zum Schutz von mobilen Geräten wie Kaspersky Endpoint Security for Business verwendet werden. Dadurch wird sichergestellt, dass nur vertrauenswürdige Anwendungen aus einer genehmigten Whitelist auf den Geräten installiert werden können, die Zugriff auf sensible Unternehmensdaten haben.
Weitere Informationen zu Ghimob sind verfügbar unter https://securelist.com/ghimob-tetrade-threat-mobile-devices/99228/