انتشار بدافزار Ghimob

به گزارش کارگروه امنیت سایبربان؛ کارشناسان آزمایشگاه کسپرسکی در گزارشی تازه نسبت به انتشار بدافزار برزیلی به نام گیموب (Ghimob) هشدار دادند.

برطبق گزارش این شرکت، گیموب عضوی از خانواده بدافزار گیلدما (Guildma) بوده و مهاجمان از طریق آن اقدام به جاسوسی در 153 اپلیکیشن اندروید در آلمان، پاراگوئه، پرو، پرتغال، آنگولا و موزامبیک می‌کنند.

تروجان گیلدما که 5 سال پیش در برزیل ظهور کرده است، کاربران کشورهای آمریکای جنوبی، ایالات‌متحده آمریکا، پرتغال، اسپانیا را هدف قرار می‌دهد. این بدافزار از طریق ایمیل‌های فیشینگ توزیع‌شده و پشت نقاب پیام‌های اداری و رسمی و آگهی‌های مختلف مخفی می‌شود. 

گیلدما قادر است با بهره‌گیری از افزونه‌های خاص کدهای مخرب را در سیستم قربانی مخفی سازد و اطلاعات پیکربندی مربوط به آدرس‌ سرورهای کنترل را از طریق صفحات فیس بوک و یوتیوب دریافت ‌کند.

بنابرگزارش کسپرسکی، گیموب از طریق ایمیل‌های فیشینگ مربوط به بدهی منتشر می‌شود. در این ایمیل‌ها به کاربر پیشنهاد می‌شود به لینک مراجعه کرده و در خصوص بدهی اطلاعات بیشتری کسب نماید. چنانچه کاربر به لینک مراجعه کند، در سیستم وی یک تروجان دسترسی از راه دور نصب می‌شود. 

گیموب پس از نفوذ به دستگاه کاربر، اطلاعات مربوط به مدل دستگاه، لیست اپلیکیشن‌ها و تنظیمات قفل صفحه را به سرور فرماندهی و کنترل ارسال می‌کند. 

همانطور که گفته شد این بدافزار قادر است از 153 برنامه تلفن همراه که عموماً متعلق به بانک‌ها، شرکت‌های فناوری مالی و صرافی‌های ارز دیجیتال هستند، جاسوسی کند.

 گیموب داده‌های تلفن همراه را که در صفحه‌نمایش نشان داده می‌شوند دست‌کاری کرده یا جمع‌آوری کند و به مهاجمان امکان کنترل کامل دستگاه را از طریق ابزارهای دسترسی از راه دور می‌دهد. 

این بدافزار از دید آنتی‌ویروس‌های مورداستفاده در سازمان‌های مالی مخفی مانده و صفحه‌نمایش دستگاه را قفل می‌کند، چراکه می‌تواند اقدامات کاربر را ازجمله واردکردن پسورد ثبت و تکرار کند. 

دمیتری گالوف، کارشناس امنیت سایبری کسپرسکی در این خصوص اعلام کرد:

تمایل مهاجمان آمریکای لاتین به انتشار تروجان‌های بانکی تلفن همراه در سراسر جهان داستانی است که سردراز دارد. ما Basbank و Brata را نیز دیده‌ایم، اما آن‌ها روی بازار برزیل متمرکز بودند. Ghimob اولین تروجان بانکی تلفن همراه با خاستگاه برزیلی است که آماده انتشار در سراسر جهان است. ما معتقدیم این بدافزار بنا به چند دلیل به خانواده Guildma تعلق دارد، خصوصاً به این دلیل که از زیرساخت یکسانی استفاده می‌کنند. ما به سازمان‌های مالی توصیه می‌کنیم این تهدیدات را به‌دقت دنبال کنند و همزمان فرایندهای احزار هویت را ارتقاء داده و فناوری‌های مبارزه با کلاه‌برداری را به‌کارگیرند و از داده‌های تحلیلی در خصوص تهدیدات استفاده کنند تا احتمال حملات موفق این تروجان بانکی تلفن همراه را تقلیل دهند.