ایتنا - این تروجان که گیموب نام دارد، کنترل از راه دور می باشد و از طریق ایمیلهای ردوبدل شده و در حین پرداخت بانکی، به دستگاه اندروید حمله میکند.
یک گروه از مهاجمین سایبری مستقر در برزیل، مسئول گسترش و برپایی تروجان بانکی گیموب در چندین کشور هستند. تیم تحقیق و تحلیل جهانی کسپرسکی (GReAT) جزئیات یک تروجان بانکی جدید را کشف کرد، که به اعتقاد آنان توسط یک گروه امنیت سایبری برزیلی به نام گیلدما تهیهشده است.
به گزارش ایتنا از پایگاه اطلاعرسانی پلیس فتا، این تروجان که گیموب نام دارد، کنترل از راه دور می باشد و از طریق ایمیلهای ردوبدل شده و در حین پرداخت بانکی، به دستگاه اندروید حمله میکند. این کمپین چهارماه پس از حمله چهار تروجان بانکی تترید(tetrade) برزیلی، شناسایی شد که عمدتاً مؤسسات مالی آمریکای لاتین، برزیل و اروپا را هدف قرار داده است.
کارشناسان موسسه کسپرسکی ادعا میکنند که این مجرمین در تلاشاند تا از طریق آلوده کردن دستگاههای تلفن همراه در اروپا، آمریکای لاتین و احتمالاً آمریکا توسط جاسوسافزارها، فعالیتهای خود را گسترش دهند. بااینحال، میزبان تروجانها، دامنه شخص ثالث میباشد، نه گوگل پلی.
اهداف اصلی تروجان گیموب برنامههای مالی شرکتهای فینتک، بانکها، ارزهای رمز پایه و صرافیهای واقع در برزیل، پرو، پاراگوئه، پرتغال، آنگولا، آلمان و موزامبیک است. گیموب اولین تروجان بانکداری سیار برزیلی است که آماده هدف قرار دادن مؤسسات مالی و مشتریانشان در سایر کشورها میباشد. این تروجان آماده سرقت اعتبار بانکها، فین تک، صرافیها، مبادلات رمزنگاری و کارتهای اعتباری از مؤسسات مالی فعال در بسیاری از کشورها است.
گیلدما برای توزیع بدافزار از ایمیلهای فیشینگ استفاده میکند و کاربران بیاطلاع را از طریق کلیک بر روی لینکهای مخرب و دانلود نصب کنندههای گیموب فریب میدهد. وقتی تروجان روی دستگاه اندروید نصب شد، همانند سایر رتها عمل میکند.
نمونه ایمیل مخربی که توسط هکرهای برزیلی به زبان پرتغالی ارسالشده است:
تروجان پس از نصب، پیامی را به سرور مهاجم ارسال میکند تا نصب موفقیتآمیز خود را اطلاع دهد. این پیام شامل اطلاعاتی در مورد مدل تلفن، لیستی از برنامههای نصبشده روی دستگاه و عملکرد کاربر در خصوص امنیت لاک اسکرین یا همان قفل صفحه میباشد.
مراقب باشید: جاسوسافزار جدید اندروید تماسهای شمارا بهصورت مخفیانه ضبط میکند.
به گفته کارشناسان، گیموب از میکروفون دستگاه استفاده میکند و همچنین به مهاجمین امکان میدهد تا از صفحات اسکرینشات بگیرند و با ثبت و ضبط مطالبی که کاربر در داخل اپلیکیشنها یا بستر آنلاین تایپ نموده، دستگاه را از راه دور کنترل کنند .
گیموب آیکن خود را از منوی برنامه پنهان میکند. این ویژگی از قابلیت دسترسی دستگاه برای اطمینان از ماندگاری، ضبط کلیدهای میانبر، غیرفعال کردن نصب دستی، کنترل کامل دستگاه و کنترل محتوای صفحه بهره میبرد. حتی اگر کاربر قفل صفحه را فعال کرده باشد، تروجان بانکی میتواند بعداً آن را ضبط و مجدداً اجرا تا قفل دستگاه باز شود.
تیم جهانی کسپرسکی در تجزیهوتحلیل خود بیان کرد:
گیموب یک جاسوس تمام عیار در جیب شماست. هکر میتواند پس از انتشار آلودگی، از راه دور به دستگاه آلوده دسترسی پیدا کند و با تغییرات در گوشی قربانیان خود از اقدامات امنیتی مؤسسات مالی و همه سیستمهای ضد تقلب آنها جلوگیری میکند.
مهاجم یک صفحه سیاه رنگی را به عنوان یک پوشش اضافه میکند یا یک وبسایت را بهصورت تمام صفحه برای انجام تراکنش باز میکند. وقتی کاربر به صفحه نگاه میکند، مهاجم با استفاده از اپلیکیشن مالی که کاربر به آن ورود نموده، تراکنش انجام میدهد.
گیموب 153 برنامه را هدف قرار داده است که 112 مورد از آنها مؤسسات مالی در برزیل هستند