SICUREZZA: Ghimob malware su Android – Questo virus spia tutte le vostre app

Malware su Android: questo virus spia tutte le vostre app

La presenza di malware su Android sembra essere alquanto copiosa e questa volta parliamo di Ghimob, il quale è in grado di controllare il vostro

smartphone da remoto

Guildma, un attore di minacce che fa parte della famiglia di trojan bancari Tétrade , ha lavorato per introdurre nuove tecniche, creare nuovo malware

e prendere di mira nuove vittime. Di recente, la loro nuova creazione, il trojan bancario Ghimob , è stata una mossa verso l’infezione dei dispositivi

mobili, prendendo di mira app finanziarie da banche, fintech, scambi e criptovalute in Brasile, Paraguay, Perù, Portogallo, Germania, Angola e

Mozambico.

Ghimob è una spia a tutti gli effetti in tasca: una volta completata l’infezione, l’hacker può accedere da remoto al dispositivo infetto, completando la

transazione fraudolenta con lo smartphone della vittima, così da evitare l’identificazione della macchina, le misure di sicurezza attuate dalle istituzioni

finanziarie e tutti i loro sistemi comportamentali antifrode. Anche se l’utente dispone di una sequenza di blocco dello schermo, Ghimob è in grado di

registrarla e in seguito riprodurla per sbloccare il dispositivo. Quando il criminale informatico è pronto per eseguire la transazione, può inserire una

schermata nera come sovrapposizione o aprire un sito Web a schermo intero, quindi mentre l’utente guarda quella schermata, il criminale esegue la

transazione in background utilizzando l’app finanziaria in esecuzione sullo smartphone della vittima che l’utente ha aperto o a cui ha effettuato

l’accesso.

Da un punto di vista tecnico, Ghimob è anche interessante in quanto utilizza C2 con fallback protetto da Cloudflare, nasconde il suo vero C2 con DGA e

impiega molti altri trucchi, presentandosi come un forte concorrente in questo campo. Ma ancora, nessun segno di MaaS ( malware-as-a-

service ). Rispetto a BRATA o Basbanke , un’altra famiglia di trojan bancari mobili originaria del Brasile, Ghimob è molto più avanzato e più ricco di

funzionalità e ha una forte persistenza.

Attacco finanziario multipiattaforma

Durante il monitoraggio di una campagna malware di Guildma Windows, siamo stati in grado di trovare URL dannosi utilizzati per la distribuzione sia

di file ZIP per scatole di Windows che di file APK, tutti dallo stesso URL. Se lo user-agent che ha fatto clic sul collegamento dannoso è un browser basato

su Android, il file scaricato sarà il programma di installazione dell’APK Ghimob.

Gli APK così distribuiti si atteggiano a installatori di app popolari; non sono su Google Play ma piuttosto ospitati in diversi domini dannosi registrati

dagli operatori di Guildma. Una volta installata sul telefono, l’app abuserà della modalità di accessibilità per ottenere persistenza, disabilitare la

disinstallazione manuale e consentire al trojan bancario di acquisire dati, manipolare il contenuto dello schermo e fornire un controllo remoto

completo al truffatore: un tipico RAT mobile.

Stesso collegamento, file diversi: ZIP per Windows, APK per Android

La nostra telemetria mostra che tutte le vittime del trojan bancario mobile Ghimob si trovano al momento in Brasile, ma come tutti gli altri attori delle minacce di Tétrade, Ghimob ha grandi piani per espandersi all’estero.

Rilevazioni Ghimob: Brasile per ora, ma pronto ad espandersi all’estero

Per indurre la vittima a installare il file dannoso, l’e-mail viene scritta come da un creditore e fornisce un collegamento in cui il destinatario potrebbe visualizzare ulteriori informazioni, mentre l’app stessa finge di essere Google Defender, Google Docs, WhatsApp Updater, ecc.

Un messaggio dannoso che distribuisce il malware, scritto in portoghese brasiliano

Un RAT persistente in tasca

Non appena il malware viene avviato, cerca di rilevare emulatori comuni, verifica la presenza di un debugger collegato al processo e al file manifest e

verifica anche la presenza di un flag debuggabile. Se uno di questi è presente, il malware termina semplicemente da solo. Le versioni più recenti del

malware hanno spostato i nomi dell’emulatore in un file di configurazione crittografato. Se questi controlli precedenti vengono superati, all’utente

viene quindi presentata la finestra di accessibilità predefinita di Android, poiché il malware si basa fortemente sull’accessibilità per funzionare.

“Google Docs” ti chiede di fornire le autorizzazioni di accessibilità

Una volta completata l’infezione, il malware procede con l’invio di un messaggio di notifica dell’infezione al proprio server di notifica. Ciò include il

modello di telefono, se ha un blocco schermo attivato e un elenco di tutte le app installate che il malware ha come destinazione, compresi i numeri di

versione. Ghimob spia 153 app mobili, principalmente da banche, fintech, criptovalute e borse. Analizzando il malware è possibile vedere tutte le app

monitorate e prese di mira dal RAT. Si tratta principalmente di istituzioni in Brasile (dove guarda 112 app), ma poiché Ghimob, come altri attori delle

minacce di Tétrade, si sta muovendo verso l’espansione delle sue operazioni, controlla anche il sistema per le app di criptovaluta di diversi paesi (tredici

app) e il pagamento internazionale sistemi (nove app). Nel mirino sono anche le banche in Germania (cinque app), Portogallo (tre app), Perù (due app),

Paraguay (due app), Angola e Mozambico (una app per paese).

Il malware impedisce inoltre all’utente di disinstallarlo, riavviare o spegnere il dispositivo.

Questo è ciò che accade quando l’utente cerca di rimuovere Ghimob manualmente – QUI DI SEGUITO IL VIDEO : video

Fallback C2s per un controllo remoto completo

Una volta completata l’installazione, Ghimob cerca di nascondere la sua presenza nascondendo l’icona dal cassetto delle app. Il malware decritterà un elenco di provider C2 hardcoded dal suo file di configurazione e contatterà ciascuno per ricevere il vero indirizzo C2, una tecnica che chiamiamo ” canali di fallback “. I provider C2 trovati sono gli stessi in tutti i campioni che abbiamo analizzato, ma i parametri di directory della richiesta per ottenere il C2 reale variano tra i diversi campioni, restituendo un insieme diverso di indirizzi C2 reali. Tutta la comunicazione avviene tramite il protocollo HTTP / HTTPS.

Pannello di controllo utilizzato da Ghimob per elencare le vittime infette

Invece di registrare lo schermo dell’utente tramite l’ API MediaProjection , come fa BRATA , Ghimob invia informazioni relative all’accessibilità dalla

finestra attiva corrente, come si può vedere di seguito dall’output del comando “301” restituito da C2. Tutti i comandi utilizzati da RAT sono descritti nel

nostro report privato per i clienti del nostro portale Intel sulle minacce finanziarie .

Client:[TARGETED APP]

ID: xDROID_smg930a7.1.125_7206eee5b3775586310270_3.1

Data:Sep 24

2020 3:23:28 PM

Ref:unknown SAMSUNG–SM–G930A 7.1.1 25

KeySec:trueKeyLock:falseDevSec:trueDevLock:false

com.sysdroidxx.addons – v:3.1

Ativar Google Docs

=======================================

Link Conexao:hxxp://www.realcc.com

Senha de 8 digitos:12345678

Senha de 6 digitos:123456

=======================================

============== LOG GERAL ==============

=======================================

22{< x >}[com.android.launcher3]—[TEXTO:null]—[ID:com.android.launcher3:id/apps_list_view]—[DESCRICAO:null]—[CLASSE:android.support.v7.widget.RecyclerView]

16{< x >}[targeted app]—[TEXTO:]—[ID:null]—[DESCRICAO:Senha de 8 digitos]—[CLASSE:android.widget.EditText]

0{< >}[targeted app]—[TEXTO:null]—[ID:null]—[DESCRICAO:null]—[CLASSE:android.widget.FrameLayout]

1{< >}[targeted app]—[TEXTO:null]—[ID:null]—[DESCRICAO:null]—[CLASSE:android.widget.LinearLayout]

2{< >}[targeted app]—[TEXTO:null]—[ID:android:id/content]—[DESCRICAO:null]—[CLASSE:android.widget.FrameLayout]

3{< >}[targeted app]—[TEXTO:null]—[ID:null]—[DESCRICAO:null]—[CLASSE:android.widget.FrameLayout]

=======================================

================ SALDOS ===============

=======================================

[DESCRICAO: Rolando Lero Agencia: 111. Digito 6. Conta–corrente: 22222. Digito .7]—

[TEXTO:Account Rolando Lero]

[DESCRICAO:Agencia: 111. Digito 6. Conta–corrente: 22222. Digito .7]—[TEXTO:111–6 22222–7]

[DESCRICAO:Saldo disponivel

R$ 7000,00]—

[DESCRICAO:7000,00]—[TEXTO:R$ 7000,00]

[TEXTO:Saldo disponivel]

[DESCRICAO:Agendado ate 04/Out

R$ 6000,00 ]—

[DESCRICAO:6000,00 ]—[TEXTO:R$ 6000,00 ]

[TEXTO:Agendado ate 04/Out]

Ciò è probabilmente dovuto alla bassa velocità di Internet in Brasile: l’invio di informazioni di testo di tanto in tanto consuma meno larghezza di banda

rispetto all’invio di una registrazione dello schermo in tempo reale, aumentando così le possibilità di frode riuscita per il criminale

informatico. Mentre BRATA utilizza un overlay con una falsa WebView per rubare le credenziali, Ghimob non ha bisogno di farlo, poiché legge i campi

direttamente dall’app di destinazione attraverso le funzionalità di accessibilità. Vengono monitorate le seguenti parole in portoghese: saldo (balance),

investimento (investment), empréstimo (lending), extrato (statement).

Conclusioni

Ci è voluto del tempo prima che i criminali brasiliani decidessero di provare a creare un trojan per il mobile banking con una portata mondiale. Prima

abbiamo visto Basbanke , poi BRATA , ma entrambi erano fortemente concentrati sul mercato brasiliano. Ghimob è infatti il primo trojan brasiliano per

il mobile banking pronto ad espandersi e ad indirizzare gli istituti finanziari ei loro clienti residenti in altri paesi. I nostri risultati di telemetria hanno

confermato le vittime in Brasile, ma come abbiamo visto, il trojan è ben preparato a rubare credenziali da banche, fintech, exchange, cripto-exchange e

carte di credito da istituzioni finanziarie che operano in molti paesi, quindi sarà naturalmente un internazionale espansione.

Riteniamo che questa campagna possa essere collegata all’attore della minaccia Guildma, un noto trojan bancario brasiliano, per diversi motivi, ma

principalmente perché condividono la stessa infrastruttura. È anche importante notare che il protocollo utilizzato nella versione mobile è molto simile a

quello utilizzato per la versione Windows.

– / 5

Grazie per aver votato!

Malware su Android: questo virus spia tutte le vostre app

La presenza di malware su Android sembra essere alquanto copiosa e questa volta parliamo di Ghimob, il quale è in grado di controllare il vostro

smartphone da remoto

Guildma, un attore di minacce che fa parte della famiglia di trojan bancari Tétrade , ha lavorato per introdurre nuove tecniche, creare nuovo malware

e prendere di mira nuove vittime. Di recente, la loro nuova creazione, il trojan bancario Ghimob , è stata una mossa verso l’infezione dei dispositivi

mobili, prendendo di mira app finanziarie da banche, fintech, scambi e criptovalute in Brasile, Paraguay, Perù, Portogallo, Germania, Angola e

Mozambico.

Ghimob è una spia a tutti gli effetti in tasca: una volta completata l’infezione, l’hacker può accedere da remoto al dispositivo infetto, completando la

transazione fraudolenta con lo smartphone della vittima, così da evitare l’identificazione della macchina, le misure di sicurezza attuate dalle istituzioni

finanziarie e tutti i loro sistemi comportamentali antifrode. Anche se l’utente dispone di una sequenza di blocco dello schermo, Ghimob è in grado di

registrarla e in seguito riprodurla per sbloccare il dispositivo. Quando il criminale informatico è pronto per eseguire la transazione, può inserire una

schermata nera come sovrapposizione o aprire un sito Web a schermo intero, quindi mentre l’utente guarda quella schermata, il criminale esegue la

transazione in background utilizzando l’app finanziaria in esecuzione sullo smartphone della vittima che l’utente ha aperto o a cui ha effettuato

l’accesso.

Da un punto di vista tecnico, Ghimob è anche interessante in quanto utilizza C2 con fallback protetto da Cloudflare, nasconde il suo vero C2 con DGA e

impiega molti altri trucchi, presentandosi come un forte concorrente in questo campo. Ma ancora, nessun segno di MaaS ( malware-as-a-

service ). Rispetto a BRATA o Basbanke , un’altra famiglia di trojan bancari mobili originaria del Brasile, Ghimob è molto più avanzato e più ricco di

funzionalità e ha una forte persistenza.

Attacco finanziario multipiattaforma

Durante il monitoraggio di una campagna malware di Guildma Windows, siamo stati in grado di trovare URL dannosi utilizzati per la distribuzione sia

di file ZIP per scatole di Windows che di file APK, tutti dallo stesso URL. Se lo user-agent che ha fatto clic sul collegamento dannoso è un browser basato

su Android, il file scaricato sarà il programma di installazione dell’APK Ghimob.

Gli APK così distribuiti si atteggiano a installatori di app popolari; non sono su Google Play ma piuttosto ospitati in diversi domini dannosi registrati

dagli operatori di Guildma. Una volta installata sul telefono, l’app abuserà della modalità di accessibilità per ottenere persistenza, disabilitare la

disinstallazione manuale e consentire al trojan bancario di acquisire dati, manipolare il contenuto dello schermo e fornire un controllo remoto

completo al truffatore: un tipico RAT mobile.

Stesso collegamento, file diversi: ZIP per Windows, APK per Android

La nostra telemetria mostra che tutte le vittime del trojan bancario mobile Ghimob si trovano al momento in Brasile, ma come tutti gli altri attori delle minacce di Tétrade, Ghimob ha grandi piani per espandersi all’estero.

Rilevazioni Ghimob: Brasile per ora, ma pronto ad espandersi all’estero

Per indurre la vittima a installare il file dannoso, l’e-mail viene scritta come da un creditore e fornisce un collegamento in cui il destinatario potrebbe visualizzare ulteriori informazioni, mentre l’app stessa finge di essere Google Defender, Google Docs, WhatsApp Updater, ecc.

Un messaggio dannoso che distribuisce il malware, scritto in portoghese brasiliano

Un RAT persistente in tasca

Non appena il malware viene avviato, cerca di rilevare emulatori comuni, verifica la presenza di un debugger collegato al processo e al file manifest e

verifica anche la presenza di un flag debuggabile. Se uno di questi è presente, il malware termina semplicemente da solo. Le versioni più recenti del

malware hanno spostato i nomi dell’emulatore in un file di configurazione crittografato. Se questi controlli precedenti vengono superati, all’utente

viene quindi presentata la finestra di accessibilità predefinita di Android, poiché il malware si basa fortemente sull’accessibilità per funzionare.

“Google Docs” ti chiede di fornire le autorizzazioni di accessibilità

Una volta completata l’infezione, il malware procede con l’invio di un messaggio di notifica dell’infezione al proprio server di notifica. Ciò include il

modello di telefono, se ha un blocco schermo attivato e un elenco di tutte le app installate che il malware ha come destinazione, compresi i numeri di

versione. Ghimob spia 153 app mobili, principalmente da banche, fintech, criptovalute e borse. Analizzando il malware è possibile vedere tutte le app

monitorate e prese di mira dal RAT. Si tratta principalmente di istituzioni in Brasile (dove guarda 112 app), ma poiché Ghimob, come altri attori delle

minacce di Tétrade, si sta muovendo verso l’espansione delle sue operazioni, controlla anche il sistema per le app di criptovaluta di diversi paesi (tredici

app) e il pagamento internazionale sistemi (nove app). Nel mirino sono anche le banche in Germania (cinque app), Portogallo (tre app), Perù (due app),

Paraguay (due app), Angola e Mozambico (una app per paese).

Il malware impedisce inoltre all’utente di disinstallarlo, riavviare o spegnere il dispositivo.

Questo è ciò che accade quando l’utente cerca di rimuovere Ghimob manualmente – QUI DI SEGUITO IL VIDEO : video

Fallback C2s per un controllo remoto completo

Pannello di controllo utilizzato da Ghimob per elencare le vittime infette

Invece di registrare lo schermo dell’utente tramite l’ API MediaProjection , come fa BRATA , Ghimob invia informazioni relative all’accessibilità dalla

finestra attiva corrente, come si può vedere di seguito dall’output del comando “301” restituito da C2. Tutti i comandi utilizzati da RAT sono descritti nel

nostro report privato per i clienti del nostro portale Intel sulle minacce finanziarie .

Ciò è probabilmente dovuto alla bassa velocità di Internet in Brasile: l’invio di informazioni di testo di tanto in tanto consuma meno larghezza di banda

rispetto all’invio di una registrazione dello schermo in tempo reale, aumentando così le possibilità di frode riuscita per il criminale

informatico. Mentre BRATA utilizza un overlay con una falsa WebView per rubare le credenziali, Ghimob non ha bisogno di farlo, poiché legge i campi

direttamente dall’app di destinazione attraverso le funzionalità di accessibilità. Vengono monitorate le seguenti parole in portoghese: saldo (balance),

investimento (investment), empréstimo (lending), extrato (statement).

Conclusioni

Ci è voluto del tempo prima che i criminali brasiliani decidessero di provare a creare un trojan per il mobile banking con una portata mondiale. Prima

abbiamo visto Basbanke , poi BRATA , ma entrambi erano fortemente concentrati sul mercato brasiliano. Ghimob è infatti il ​​primo trojan brasiliano per

il mobile banking pronto ad espandersi e ad indirizzare gli istituti finanziari ei loro clienti residenti in altri paesi. I nostri risultati di telemetria hanno

confermato le vittime in Brasile, ma come abbiamo visto, il trojan è ben preparato a rubare credenziali da banche, fintech, exchange, cripto-exchange e

carte di credito da istituzioni finanziarie che operano in molti paesi, quindi sarà naturalmente un internazionale espansione.

Riteniamo che questa campagna possa essere collegata all’attore della minaccia Guildma, un noto trojan bancario brasiliano, per diversi motivi, ma

principalmente perché condividono la stessa infrastruttura. È anche importante notare che il protocollo utilizzato nella versione mobile è molto simile a

quello utilizzato per la versione Windows.

abbiamo visto Basbanke , poi BRATA , ma entrambi erano fortemente concentrati sul mercato brasiliano. Ghimob è infatti il primo trojan brasiliano per