安全研究人员发现了针对巴西、拉丁美洲、欧洲金融机构的四种巴西银行木马—— Tetrade 。四个月后现在的发现表明,犯罪分子已经变更了策略,以图用间谍软件感染移动设备。
据卡巴斯基全球研究与分析团队(GReAT)称,位于巴西的威胁组织Guildma已经扩散了这一款新的Android银行木马,
主要针对巴西,巴拉圭,秘鲁,葡萄牙,德国,安哥拉共和国和莫桑比克的金融科技公司、交易所、加密货币机构使用的金融APP。
“ Ghimob是您口袋里暗藏的跃跃欲试的间谍软件:一旦感染完成,黑客就可以远程访问受感染的设备,用受害者的智能手机完成欺诈交易,
为避免进行机器识别时被黑客钻漏子,金融机构应采取AI人工智能检测措施以及反欺诈行为系统。”网络安全公司在周一的分析时说。
除了与Guildma相同的基础结构,Ghimob继续使用网络钓鱼电子邮件作为分发恶意软件的机制,从而诱使毫无戒心的用户单击可下载Ghimob APK安装程序的恶意URL。
该木马一旦安装在设备上,其功能与其他臭味相投的同类及其相似,通过隐藏应用程序抽屉中的图标来掩饰其存在,滥用Android默认功能来获得持久性,
禁用手动卸载并允许银行木马捕获操作,操纵屏幕内容并向攻击者提供完全的远程控制。
研究人员说:“即使用户有适当的屏幕锁定方式,Ghimob也能够记录下来,然后再播放以解锁设备。”
“当网络犯罪分子准备执行交易时,他们可以插入黑屏作为覆盖,或打开某些网站。当用户查看以上内容,犯罪分子会在后台执行用户所不知的窃取诈骗交易。”
Ghimob的小弟多达153个,分别是不同的金融APP,其中的112个荼毒了巴西的金融机构,剩下的分布在德国、葡萄牙、秘鲁、巴拉圭、安哥拉和莫桑比克的加密货币机构和银行的APP。
卡巴斯基研究人员总结说:“ Ghimob是巴西第一次发现瞄准并成功扩散到其他国家的银行木马。”
“金融以及银行类行业作为特殊行业,应为特洛伊木马防御做好准备,许多国家/地区的银行、金融机构、交易所、加密货币交易所以及信用卡的安全凭证都很脆弱。”
