Anzeige

Anzeige

Mobile Trojaner

Kaspersky-Forscher haben einen neuen Banking-Trojaner gefunden, der Nutzer in Deutschland, aber auch weltweit attackiert. Der Remote Access Trojaner (RAT) ,Ghimob' wurde im Zuge der Überwachung einer gegen Windows gerichteten, maliziösen Kampagne durch die Banking-Malware Guildma entdeckt.

Dabei haben die Kaspersky-Forscher URLs, die nicht nur eine schädliche .ZIP-Datei für Windows verbreiteten, sondern auch einen Downloader für Ghimob entdeckt. Nach dem Infiltrieren des Bedienungshilfe-Modus kann Ghimob Persistenz erlangen und eine manuelle Deinstallation deaktivieren, Daten erfassen, Bildschirminhalte manipulieren und den Cyberkriminellen die vollständige Remote-Steuerung ermöglichen.

Guildma, einer der Bedrohungsakteure hinter der berüchtigten Tétrade-Malwarefamilie - für seine skalierbaren, schädlichen Aktivitäten sowohl in Lateinamerika als auch in anderen Teilen der Welt bekannt - arbeitet aktiv an neuen Techniken, entwickelt Malware und hat neue Opfer im Visier.

Der neue Banking-Trojaner Ghimob versucht die Opfer dazu zu verlocken, die schädliche Datei über eine E-Mail zu installieren, die darauf hinweist, dass man Schulden hätte. Die Mail enthält dabei einen Link, der zu vermeintlich weiteren Informationen führt. Sobald der Remote Access Trojaner (RAT) installiert ist, sendet die Malware eine Nachricht über die erfolgreiche Infektion an den Server. Diese enthält Informationen zum Telefonmodell, die Angabe, ob es über eine Bildschirmsperre verfügt, und eine Liste aller installierten Anwendungen, die die Malware attackieren kann. Ghimob kann 153 unterschiedliche Apps ausspionieren - es handelt sich dabei überwiegend um Anwendungen von Banken, Fintech-Unternehmen, Kryptowährungen und Börsen. Fünf dieser Apps stammen von Banken in Deutschland.

Funktional gesehen ist Ghimob ein Spion, den sein Opfer ständig mit sich herumträgt. Die Cyberkriminellen können per Fernzugriff auf das infizierte Gerät zugreifen und betrügerische Aktivitäten ausführen. Durch die Verwendung des Smartphones des Opfers können sie vermeiden, dass Finanzinstitute und deren Anti-Fraud-Systeme sie erkennen identifizieren und daraufhin Sicherheitsmaßnahmen ergreifen. Selbst wenn der Nutzer ein Sperrbildschirmmuster verwendet, ist Ghimob in der Lage, dieses aufzunehmen und abzuspielen, um das Gerät zu entsperren.

Bei der Durchführung einer betrügerischen Transaktion können die Angreifer ein schwarzes Bildschirm-Overlay anzeigen oder einige Webseiten im Vollbildmodus öffnen. Der Betrugsprozess wird, während der Nutzer auf seinen Bildschirm blickt, im Hintergrund ausgeführt. Hierbei werden bereits geöffnete oder in angemeldeten Finanz-Apps genutzt, die auf dem Gerät installiert sind.

Die Ziele von Ghimob befinden sich in Brasilien, Paraguay, Peru, Portugal, Deutschland, Angola und Mosambik.

"Der Wunsch lateinamerikanischer Cyberkrimineller nach einem mobilen Banking-Trojaner mit weltweiter Reichweite hat eine lange Geschichte", kommentiert Fabio Assolini, Sicherheitsexperte bei Kaspersky. "Wir haben bereits Basbanke und BRata identifiziert, die jedoch beide stark auf den brasilianischen Markt ausgerichtet waren. Tatsächlich ist Ghimob der erste brasilianische Mobile-Banking-Trojaner, der für die internationale Expansion bereit ist. Wir denken, dass diese neue Kampagne mit dem Guildma-Bedrohungsakteur in Verbindung gebracht werden kann, der für einen bekannten brasilianischen Banking-Trojaner verantwortlich ist. Indiz hierfür ist unter anderem insbesondere die Nutzung derselben Infrastruktur. Wir empfehlen Finanzinstituten, diese Bedrohungen genau zu beobachten und gleichzeitig ihre Authentifizierungsverfahren zu optimieren, die Qualität ihrer Betrugsbekämpfungstechnologie und den Einblick in aktuelle Bedrohungsdaten zu verbessern sowie zu versuchen, alle Risiken dieser neuen mobilen RAT-Familie zu verstehen und zu minimieren."

Kaspersky-Produkte erkennen die neue Malware als Trojan-Banker.AndroidOS.Ghimob.

Alle Details und IoCs, die mit dieser Bedrohung in Verbindung stehen, werden den Nutzern der Financial-Threat-Intelligence-Dienste von Kaspersky zur Verfügung gestellt.

Tipps zum Schutz vor RAT- und Banking-Bedrohungen

  • SOC-Teams sollten stets Zugang zu den neuesten Bedrohungsinformationen haben. Das Kaspersky Threat Intelligence Portal bietet Zugriff auf die Threat Intelligence des Unternehmens und stellt Daten und Erkenntnisse zu Cyberangriffen zur Verfügung.
     
  • Zur Erkennung, Untersuchung und rechtzeitigen Behebung von Vorfällen auf Endpunktebene sollte eine zuverlässige EDR-Lösung wie Kaspersky Endpoint Detection and Response implementiert werden.
     
  • Um Unternehmensgeräte vor schädlichen Anwendungen zu schützen, sollte eine Endpoint-Lösung mit Funktionen zum Schutz von mobilen Geräten wie Kaspersky Endpoint Security for Business verwendet werden. Dadurch wird sichergestellt, dass nur vertrauenswürdige Anwendungen aus einer genehmigten Whitelist auf den Geräten installiert werden können, die Zugriff auf sensible Unternehmensdaten haben.

Weitere Informationen zu Ghimob finden Sie hier.

www.kaspersky.de
 


Artikel zu diesem Thema

Mobile Security
Nov 02, 2020

Mobile Security: Aufwand für Angriffe so hoch wie möglich ansetzen

Apps werden im Alltag immer wichtiger. Sie erfüllen zahlreiche Funktionen – und…
Trojaner
Aug 11, 2020

Ansatz um Remote-Access-Trojaner zu enttarnen

Die US-Regierung hat Informationen zu einer Malware-Variante veröffentlicht, die von…
Hacker Smartphone
Feb 27, 2020

Mobile Malware Evolution: weniger, aber gefährlicher

Im vergangenen Jahr 2019 entdeckten die Experten von Kaspersky weltweit 80 Millionen…

Weitere Artikel

Mobile Security

Sicher ist sicher: So muss mobile Kommunikation verschlüsselt werden

Wenn Mitarbeiter über Smartphone und Tablet E-Mails verschicken, Nachrichten austauschen oder Dateien ins Intranet hochladen, spielt Verschlüsselung eine wichtige Rolle. Virtual Solution erklärt, welche Verfahren höchsten Sicherheitsanforderungen gerecht…
Update

LastPass Authenticator Update

LogMeIn Inc. gab das Update der LastPass Authenticator Mobile App bekannt. Die neue Integration von Top-VPN (Virtual Private Network)-Anbietern wie Cisco, Palo Alto Networks und OpenVPN sowie weitere neue Funktionen für Admins sorgen für eine verbesserte MFA.
Luca-App

Luca-App: Ist die digitale Nachverfolgung von Kontakten – sicher?

Die Luca-App soll die Nachverfolgung von Corona-Kontakten in Einkaufszentren, Gastronomie oder Privatfeiern vereinfachen. Rund sechs Millionen Mal wurde sie bislang heruntergeladen. Bei der Nutzung ist jedoch einiges zu beachten.
Android Adware

Wenn legitime Apps zu bösartigen werden

Bei einer beliebten Android-App, dem Barcode Scanner, hat man kürzlich festgestellt, dass sie mit Adware infiziert ist. Nach einem Update Ende 2020 hatte sie ohne Vorwarnung damit begonnen, Werbung an Benutzer zu senden.
WhatsApp

Chaos um neue WhatsApp-Nutzungsbedingungen

Der Countdown lief ein zweites Mal und es galt: Wer WhatsApp weiterhin nutzen will, hätte bis zum 15. Mai 2021 den neuen Nutzungsbedingungen zustimmen müssen, andernfalls würde der MessengerDienst nach und nach unbrauchbar.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.