Anzeige

Mobile Trojaner

Kaspersky-Forscher haben einen neuen Banking-Trojaner gefunden, der Nutzer in Deutschland, aber auch weltweit attackiert. Der Remote Access Trojaner (RAT) ,Ghimob' wurde im Zuge der Überwachung einer gegen Windows gerichteten, maliziösen Kampagne durch die Banking-Malware Guildma entdeckt.

Dabei haben die Kaspersky-Forscher URLs, die nicht nur eine schädliche .ZIP-Datei für Windows verbreiteten, sondern auch einen Downloader für Ghimob entdeckt. Nach dem Infiltrieren des Bedienungshilfe-Modus kann Ghimob Persistenz erlangen und eine manuelle Deinstallation deaktivieren, Daten erfassen, Bildschirminhalte manipulieren und den Cyberkriminellen die vollständige Remote-Steuerung ermöglichen.

Guildma, einer der Bedrohungsakteure hinter der berüchtigten Tétrade-Malwarefamilie - für seine skalierbaren, schädlichen Aktivitäten sowohl in Lateinamerika als auch in anderen Teilen der Welt bekannt - arbeitet aktiv an neuen Techniken, entwickelt Malware und hat neue Opfer im Visier.

Der neue Banking-Trojaner Ghimob versucht die Opfer dazu zu verlocken, die schädliche Datei über eine E-Mail zu installieren, die darauf hinweist, dass man Schulden hätte. Die Mail enthält dabei einen Link, der zu vermeintlich weiteren Informationen führt. Sobald der Remote Access Trojaner (RAT) installiert ist, sendet die Malware eine Nachricht über die erfolgreiche Infektion an den Server. Diese enthält Informationen zum Telefonmodell, die Angabe, ob es über eine Bildschirmsperre verfügt, und eine Liste aller installierten Anwendungen, die die Malware attackieren kann. Ghimob kann 153 unterschiedliche Apps ausspionieren - es handelt sich dabei überwiegend um Anwendungen von Banken, Fintech-Unternehmen, Kryptowährungen und Börsen. Fünf dieser Apps stammen von Banken in Deutschland.

Funktional gesehen ist Ghimob ein Spion, den sein Opfer ständig mit sich herumträgt. Die Cyberkriminellen können per Fernzugriff auf das infizierte Gerät zugreifen und betrügerische Aktivitäten ausführen. Durch die Verwendung des Smartphones des Opfers können sie vermeiden, dass Finanzinstitute und deren Anti-Fraud-Systeme sie erkennen identifizieren und daraufhin Sicherheitsmaßnahmen ergreifen. Selbst wenn der Nutzer ein Sperrbildschirmmuster verwendet, ist Ghimob in der Lage, dieses aufzunehmen und abzuspielen, um das Gerät zu entsperren.

Bei der Durchführung einer betrügerischen Transaktion können die Angreifer ein schwarzes Bildschirm-Overlay anzeigen oder einige Webseiten im Vollbildmodus öffnen. Der Betrugsprozess wird, während der Nutzer auf seinen Bildschirm blickt, im Hintergrund ausgeführt. Hierbei werden bereits geöffnete oder in angemeldeten Finanz-Apps genutzt, die auf dem Gerät installiert sind.

Die Ziele von Ghimob befinden sich in Brasilien, Paraguay, Peru, Portugal, Deutschland, Angola und Mosambik.

"Der Wunsch lateinamerikanischer Cyberkrimineller nach einem mobilen Banking-Trojaner mit weltweiter Reichweite hat eine lange Geschichte", kommentiert Fabio Assolini, Sicherheitsexperte bei Kaspersky. "Wir haben bereits Basbanke und BRata identifiziert, die jedoch beide stark auf den brasilianischen Markt ausgerichtet waren. Tatsächlich ist Ghimob der erste brasilianische Mobile-Banking-Trojaner, der für die internationale Expansion bereit ist. Wir denken, dass diese neue Kampagne mit dem Guildma-Bedrohungsakteur in Verbindung gebracht werden kann, der für einen bekannten brasilianischen Banking-Trojaner verantwortlich ist. Indiz hierfür ist unter anderem insbesondere die Nutzung derselben Infrastruktur. Wir empfehlen Finanzinstituten, diese Bedrohungen genau zu beobachten und gleichzeitig ihre Authentifizierungsverfahren zu optimieren, die Qualität ihrer Betrugsbekämpfungstechnologie und den Einblick in aktuelle Bedrohungsdaten zu verbessern sowie zu versuchen, alle Risiken dieser neuen mobilen RAT-Familie zu verstehen und zu minimieren."

Kaspersky-Produkte erkennen die neue Malware als Trojan-Banker.AndroidOS.Ghimob.

Alle Details und IoCs, die mit dieser Bedrohung in Verbindung stehen, werden den Nutzern der Financial-Threat-Intelligence-Dienste von Kaspersky zur Verfügung gestellt.

Tipps zum Schutz vor RAT- und Banking-Bedrohungen

  • SOC-Teams sollten stets Zugang zu den neuesten Bedrohungsinformationen haben. Das Kaspersky Threat Intelligence Portal bietet Zugriff auf die Threat Intelligence des Unternehmens und stellt Daten und Erkenntnisse zu Cyberangriffen zur Verfügung.
     
  • Zur Erkennung, Untersuchung und rechtzeitigen Behebung von Vorfällen auf Endpunktebene sollte eine zuverlässige EDR-Lösung wie Kaspersky Endpoint Detection and Response implementiert werden.
     
  • Um Unternehmensgeräte vor schädlichen Anwendungen zu schützen, sollte eine Endpoint-Lösung mit Funktionen zum Schutz von mobilen Geräten wie Kaspersky Endpoint Security for Business verwendet werden. Dadurch wird sichergestellt, dass nur vertrauenswürdige Anwendungen aus einer genehmigten Whitelist auf den Geräten installiert werden können, die Zugriff auf sensible Unternehmensdaten haben.

Weitere Informationen zu Ghimob finden Sie hier.

www.kaspersky.de
 


Artikel zu diesem Thema

Mobile Security
Nov 02, 2020

Mobile Security: Aufwand für Angriffe so hoch wie möglich ansetzen

Apps werden im Alltag immer wichtiger. Sie erfüllen zahlreiche Funktionen – und…
Trojaner
Aug 11, 2020

Ansatz um Remote-Access-Trojaner zu enttarnen

Die US-Regierung hat Informationen zu einer Malware-Variante veröffentlicht, die von…
Hacker Smartphone
Feb 27, 2020

Mobile Malware Evolution: weniger, aber gefährlicher

Im vergangenen Jahr 2019 entdeckten die Experten von Kaspersky weltweit 80 Millionen…

Weitere Artikel

Handy Schäden

Smartphone kaputt - was tun?

Das Smartphone ist für die meisten Menschen ein täglicher Begleiter. Moderne Geräte besitzen Funktionen, für die man noch vor einigen Jahren einen Computer nutzen musste. Sie können viel mehr, als nur telefonieren und via Textnachricht kommunizieren. Im…
E-Health

E-Health-Apps: Wie sicher sind die Anwendungen?

Die Telemedizin erlebt seit Beginn der Covid-19-Pandemie einen wahren Boom: Während das Zentralinstitut für die Kassenärztliche Versorgung im zweiten und dritten Quartal 2019 nur einige tausend Videosprechstunden zählte, waren es im gleichen Zeitraum ein Jahr…
Facebook Workplace App

Workplace App by Facebook im Datenschutz Test

Facebook und Datenschutz – passt das zusammen? Die Workplace App by Facebook erfreut sich mit zunehmender Homeoffice-Arbeit immer größerer Beliebtheit.
Mobile Security

Spürbare Welle von Schwachstellen und Angriffen auf mobile Geräte

Untersuchungen von Orange Cyberdefense haben ergeben, dass die Zahl der Cyber-Angriffe auf Unternehmen in den letzten 12 Monaten um 13 % gestiegen ist. Dabei hat die Zahl der Ransomware-Vorfälle zugenommen und zum ersten Mal ist eine deutliche Welle von…
Mobile Management

Mobile Device Management - Mehr Funktionalität und Sicherheit für Firmenhandys

Viele Unternehmen geben ihren Mitarbeitern Mobilgeräte, Handys und Tablets in die Hand. Sie nutzen sie, um unterwegs zu arbeiten oder für private Anliegen. Wie Sie als Unternehmer dafür sorgen, dass Funktionalität und Datensicherheit dieser Geräte erhalten…
Apps

Was Apps wirklich über den Nutzer wissen!

Eine neue Studie von CasinoOnline.de hat 120 der beliebtesten kostenlosen Apps im App Store analysiert um herauszufinden, wie viele Informationen sie vom Benutzer verlangen, um auf ihren Dienst zuzugreifen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.