Ghimob
29.11.2020, 18:59 Uhr
Banking-Trojaner attackiert mobile Nutzer
Kaspersky-Forscher haben einen neuen Banking-Trojaner gefunden, der Nutzer in Deutschland, aber auch weltweit attackiert.
Der Remote Access Trojaner (RAT) Ghimob wurde im Zuge der Überwachung einer gegen Windows gerichteten, maliziösen Kampagne durch die Banking-Malware Guildma entdeckt. Dabei haben die Kaspersky-Forscher URLs, die nicht nur eine schädliche .ZIP-Datei für Windows verbreiteten, sondern auch einen Downloader für Ghimob entdeckt. Nach dem Infiltrieren des Bedienungshilfe-Modus kann Ghimob Persistenz erlangen und eine manuelle Deinstallation deaktivieren, Daten erfassen, Bildschirminhalte manipulieren und den Cyberkriminellen die vollständige Remote-Steuerung ermöglichen.
Guildma, einer der Bedrohungsakteure hinter der berüchtigten Tétrade-Malwarefamilie – für seine skalierbaren, schädlichen Aktivitäten sowohl in Lateinamerika als auch in anderen Teilen der Welt bekannt – arbeitet aktiv an neuen Techniken, entwickelt Malware und hat neue Opfer im Visier.
Der neue Banking-Trojaner Ghimob versucht die Opfer dazu zu verlocken, die schädliche Datei über eine E-Mail zu installieren, die darauf hinweist, dass man Schulden hätte. Die Mail enthält dabei einen Link, der zu vermeintlich weiteren Informationen führt. Sobald der Remote Access Trojaner (RAT) installiert ist, sendet die Malware eine Nachricht über die erfolgreiche Infektion an den Server. Diese enthält Informationen zum Telefonmodell, die Angabe, ob es über eine Bildschirmsperre verfügt, und eine Liste aller installierten Anwendungen, die die Malware attackieren kann. Ghimob kann 153 unterschiedliche Apps ausspionieren – es handelt sich dabei überwiegend um Anwendungen von Banken, Fintech-Unternehmen, Kryptowährungen und Börsen. Fünf dieser Apps stammen von Banken in Deutschland.