Utrecht, le 10 novembre 2020 – Lors de la surveillance d’une campagne Windows du malware bancaire Guildma, Kaspersky a découvert un fichier malveillant qui semblait être un programme de téléchargement permettant d’installer Ghimob, un nouveau cheval de Troie bancaire. En infiltrant le mode d’accessibilité, Ghimob peut désactiver la suppression manuelle, capturer des données, manipuler le contenu de l’écran et fournir un contrôle à distance complet aux acteurs qui se trouvent derrière. Selon les experts, les développeurs de ce cheval de Troie d’accès à distance (Remote Access Trojan, RAT) très typique pour mobiles se concentrent fortement sur les utilisateurs au Brésil, mais ont de grands projets d’expansion dans le monde entier. La campagne est toujours active en ce moment.
Guildma fait partie de la tristement célèbre série Tétrade, connue pour ses activités malveillantes en Amérique latine et dans d’autres parties du monde. Guildma a travaillé activement sur de nouvelles techniques, a développé des logiciels malveillants et a fait de nouvelles victimes. Sa toute nouvelle création : le cheval de Troie bancaire Ghimob.
Fonctionnement du cheval de Troie bancaire Ghimob
Ghimob fait installer le fichier malveillant via un e-mail suggérant que le destinataire a commis une soi-disant faute. L’e-mail contient également un lien sur lequel la victime peut cliquer, afin qu’elle puisse trouver plus d’informations. Une fois le RAT installé, le malware envoie une notification à son serveur. La notification contient le modèle de téléphone, s’il dispose d’une protection contre le verrouillage de l’écran, et une liste de toutes les applications installées que le logiciel malveillant peut cibler. Au total, Ghimob peut espionner 153 applications mobiles, principalement bancaires, de sociétés de technologie financière, de cryptomonnaies et de bourse.
Un espion en poche
Ghimob peut être considéré comme un espion dissimulé dans la poche de la victime. Les développeurs ont un accès à distance à l’appareil infecté. Ils peuvent étendre la fraude à l’aide du smartphone du propriétaire, pour éviter l’identification par machine et les mesures de sécurité des institutions financières et de leurs systèmes antifraude. Même si l’utilisateur utilise un fond d’écran verrouillé, Ghimob peut l’enregistrer et l’ouvrir pour déverrouiller l’appareil. Une fois prêts à exécuter la transaction frauduleuse, les développeurs peuvent insérer un masque ou un écran noir, ou ouvrir certains sites Web en plein écran. Pendant que l’utilisateur regarde cet écran, les développeurs effectuent la transaction frauduleuse en arrière-plan, en utilisant l’application financière déjà ouverte ou connectée fonctionnant sur l’appareil.
Les statistiques de Kaspersky montrent que les cibles de Ghimob ne se trouvent pas seulement au Brésil, mais aussi au Paraguay, au Pérou, au Portugal, en Allemagne, en Angola et au Mozambique.
« Nous avions vu auparavant des chevaux de Troie bancaires mobiles tels que Basbanke et BRata, mais tous deux se concentraient essentiellement sur le marché brésilien. Ghimob est le premier cheval de Troie bancaire mobile brésilien prêt pour une expansion internationale. Nous pensons que cette nouvelle campagne peut être liée à Guildma, car elles partagent la même infrastructure. Nous recommandons aux institutions financières de surveiller étroitement ces menaces tout en améliorant leurs processus d’authentification, en promouvant la technologie antifraude et les données informant sur les menaces, et en essayant de comprendre et d’atténuer tous les risques de cette nouvelle famille de RAT pour mobiles », a déclaré Fabio Assolini, expert en sécurité chez Kaspersky.
Les produits Kaspersky détectent la nouvelle famille en tant que Trojan-Banker.AndroidOS.Ghimob.
Afin de rester protégé contre les RAT et les menaces bancaires, Kaspersky recommande les mesures de sécurité suivantes :
- Donnez à l’équipe SOC l’accès aux dernières informations sur les menaces (TI). Le portail de renseignements sur les menaces de Kaspersky (Kaspersky Threat Intelligence Portal) donne accès aux TI de l’entreprise, et fournit des informations sur les cyberattaques et des informations collectées par Kaspersky depuis plus de 20 ans.
- Apprenez aux clients les astuces que les malfaiteurs peuvent utiliser. Envoyez-leur régulièrement des informations sur la manière d’identifier une fraude et de se comporter dans cette situation.
- Mettez en œuvre une solution antifraude, telle que Kaspersky Fraud Prevention. Elle peut protéger le support mobile contre des situations où des pirates veulent effectuer à distance une transaction frauduleuse. En matière de protection, la solution peut détecter les logiciels malveillants RAT sur l’appareil ainsi qu’identifier les indices de contrôle à distance via un logiciel légal.Lisez le rapport complet sur Securelist pour en connaître plus sur les nouveaux « exploits » décrits ci-dessus.