Ghimob, nouvelle création de Guildma, est un nouveau malware bancaire de la famille de Tétrade cible les utilisateurs mobiles du monde entier. Et il faut impérativement s'en prémunir. Guildma, un acteur malveillant faisant partie de la tristement célèbre série Tétrade, connue pour ses activités malveillantes évolutives en Amérique latine et dans d'autres régions du monde, travaille activement sur de nouvelles techniques, développant des logiciels malveillants et ciblant de nouvelles victimes. En observant une campagne Windows à partir du malware bancaire Guildma, les chercheurs de Kaspersky ont trouvé des URL distribuant non seulement un fichier .ZIP malveillant pour Windows, mais également un fichier malveillant qui s'avère être un téléchargement pour installer Ghimob – un nouveau cheval de Troie bancaire. Sa nouvelle création – le cheval de Troie bancaire Ghimob – incite les victimes à installer le fichier malveillant via un e-mail qui suggère à la personne qui le reçoit qu'elle a une sorte de dette. L'e-mail comprend également un lien sur lequel la victime peut cliquer pour obtenir plus d'informations. Une fois le RAT installé, le malware envoie un message sur la réussite de l'infection à son serveur. Le message inclut le modèle du téléphone, s'il dispose de la sécurité de l'écran de verrouillage et une liste de toutes les applications installées que le malware peut cibler. En ce qui concerne les fonctions, Ghimob est un espion dans la poche de la victime. Les développeurs peuvent accéder à l'appareil infecté à distance, en finalisant la fraude à l'aide du smartphone du propriétaire afin d'éviter l'identification de l'outil et les mesures de sécurité mises en œuvre par les institutions financières et tous leurs systèmes comportementaux anti-fraude. Même si l'utilisateur utilise un modèle d'écran de verrouillage, Ghimob est capable de l'enregistrer et de le refaire marcher pour déverrouiller l'appareil. Lorsque les développeurs sont prêts à exécuter une transaction frauduleuse, ils peuvent insérer une superposition d'écran noir ou ouvrir certains sites Web en plein écran. Ensuite, pendant que l'utilisateur regarde cet écran, les développeurs effectuent la transaction frauduleuse en arrière-plan, en utilisant l'application financière déjà ouverte ou connectée en cours d'exécution sur l'appareil. Selon les experts, les développeurs de ce cheval de Troie très typique d'accès mobile à distance (RAT) se concentrent fortement sur les utilisateurs au Brésil, mais ont de grands projets de développement à travers le monde. La campagne est toujours active. « Ce n'est malheureusement pas nouveau que les cybercriminels d'Amérique Latine cherchent à donner une portée mondiale à Cheval de Troie bancaire mobile. Nous avons déjà vu Basbanke, puis BRata, mais tous deux étaient finalement restés fortement concentrés sur le marché brésilien. En fait, Ghimob est le premier cheval de Troie bancaire mobile brésilien prêt pour une expansion internationale. Pour plusieurs raisons, nous pensons que cette nouvelle campagne pourrait être liée à l'acteur malveillant Guildma, responsable d'un cheval de Troie bancaire brésilien bien connu, principalement parce qu'ils partagent la même infrastructure. Nous recommandons aux institutions financières de surveiller ces menaces de très près, tout en améliorant leurs processus d'authentification, en renforçant la technologie anti-fraude et les données de renseignement sur les menaces, et en essayant de comprendre et d'atténuer tous les risques de cette nouvelle famille RAT mobile », commente Fabio Assolini, expert en sécurité chez Kaspersky. Au total, Ghimob peut espionner 153 applications mobiles, principalement celles des banques, des sociétés de fintech, des crypto-monnaies et des bourses.
