Waspadalah Trojan Perbankan Ghimob Yang Dapat Menguras Isi Tabungan Anda

Waspadalah Trojan Perbankan Ghimob Yang Dapat Menguras Isi Tabungan Anda

Trojan Ghimob adalah Perangkat Lunak mata-mata lengkap yang menyerang ponsel android  Anda: setelah infeksi selesai, peretas dapat mengakses perangkat yang terinfeksi dari jarak jauh, menyelesaikan transaksi penipuan dengan smartphone korban, untuk menghindari identifikasi mesin, langkah-langkah keamanan yang diterapkan oleh lembaga keuangan dan semua milik mereka.

Brasil adalah negara terkenal dengan banyak trojan perbankan yang dikembangkan oleh penjahat lokal. Penjahat bawah tanah Brasil adalah rumah bagi beberapa pelaku kejahatan dunia maya tersibuk dan paling kreatif di dunia. 

Alias Microsoft : Trojan:AndroidOS/Ghimob.A!MTB

Seperti rekan-rekan mereka di China dan Rusia, serangan dunia maya mereka memiliki citarasa lokal yang kuat, dan untuk waktu yang lama, mereka membatasi serangan mereka ke pelanggan bank lokal. 

Tetapi waktunya telah tiba ketika mereka secara agresif memperluas serangan dan operasi mereka ke luar negeri, menargetkan negara dan bank lain. 

Baru-baru ini, kreasi baru mereka, trojan perbankan Ghimob, telah menjadi langkah untuk menginfeksi perangkat seluler, menargetkan aplikasi keuangan dari bank, fintech, bursa, dan cryptocurrency di Brasil, Paraguay, Peru, Portugal, Jerman, Angola, dan Mozambik.

Setelah Mengembangkan Trojan Tetrade adalah sebutan untuk empat keluarga trojan perbankan besar yang dibuat, dikembangkan, dan disebarkan oleh penjahat Brasil, tetapi sekarang di tingkat global.

Kini mereka mengembangkan sebuah trojan baru lebih canggih yang dapat menyerang 153 perangkat mobile,Guildma, aktor ancaman yang merupakan bagian dari keluarga trojan perbankan Tétrade, telah berupaya menghadirkan teknik baru, membuat malware baru, dan menargetkan korban baru. 

Bagaimana Ghimob Menyebar

Penyebarannya tidak pernah dilakukan melalui Play Store resmi.Sebaliknya, grup Ghimob menggunakan email atau situs berbahaya untuk mengarahkan pengguna ke situs web yang mempromosikan aplikasi Android.

Images Source (securelist .com )

Ghimob ini meniru aplikasi dan merek resmi, dengan nama seperti Google Defender, Google Docs, WhatsApp Updater, atau Flash Update. Jika pengguna cukup ceroboh untuk menginstal aplikasi meskipun semua peringatan yang ditampilkan di perangkat mereka, aplikasi berbahaya akan meminta akses ke layanan Aksesibilitas sebagai langkah terakhir dalam proses infeksi.

Jika ini diberikan, aplikasi akan mencari ponsel yang terinfeksi untuk daftar 153 aplikasi yang akan menampilkan halaman login palsu dalam upaya untuk mencuri kredensial pengguna.

Sebagian besar aplikasi yang ditargetkan adalah untuk bank Brasil, tetapi dalam versi yang baru-baru ini diperbarui, Kaspersky mengatakan Ghimob juga memperluas kemampuannya untuk mulai menargetkan bank di Jerman (lima aplikasi), Portugal (tiga aplikasi), Peru (dua aplikasi), Paraguay (dua aplikasi) ), Angola dan Mozambik (satu aplikasi per negara).

Deteksi Ghimob: Brasil untuk saat ini, tetapi siap untuk berkembang ke luar negeri  Image Source:  (securelist .com )

Setelah Ghimob Menginfeksi Ponsel Anda Ini Yang Akan Dilakukan

Lebih lanjut, Ghimob juga menambahkan pembaruan untuk menargetkan aplikasi pertukaran mata uang kripto dalam upaya untuk mendapatkan akses ke akun mata uang kripto, dengan Ghimob mengikuti tren umum dalam kancah malware Android yang perlahan-lahan bergeser untuk menargetkan pemilik mata uang kripto.

Setelah upaya phishing berhasil, semua kredensial yang dikumpulkan dikirim kembali ke geng Ghimob, yang kemudian akan mengakses akun korban dan memulai transaksi ilegal.

Pesan berbahaya yang mendistribusikan malware, ditulis dalam bahasa Portugis Brasil  Image Source:  (securelist .com )

Jika akun dilindungi oleh langkah-langkah keamanan yang diperkuat, geng Ghimob menggunakan kontrol penuhnya atas perangkat (melalui layanan Aksesibilitas) untuk menanggapi setiap pemeriksaan keamanan dan petunjuk yang ditampilkan pada smartphone yang diserang.

Fitur Ghimob tidak unik, tetapi sebenarnya meniru susunan trojan perbankan Android lainnya, seperti BlackRock atau Alien.

Topologi Serangan Ghimob lebih Lanjut

Saat memantau kampanye malware Guildma Windows, Sahabat NusaPedia dapat menemukan URL jahat yang digunakan untuk mendistribusikan file ZIP untuk kotak Windows dan file APK, semuanya dari URL yang sama. 

Jika agen pengguna yang mengklik tautan jahat tersebut adalah browser berbasis Android, file yang diunduh adalah penginstal APK Ghimob.

Panel Kontrol digunakan oleh Ghimob untuk mendaftar korban yang terinfeksi  Image Source:  (securelist .com )

Segera setelah malware diluncurkan, ia mencoba mendeteksi emulator umum, memeriksa keberadaan debugger yang dilampirkan ke proses dan file manifes, dan juga memeriksa tanda yang dapat di-debug. Jika salah satu dari ini ada, maka malware akan berhenti dengan sendirinya. 

Malware versi yang lebih baru telah memindahkan nama emulator ke file konfigurasi terenkripsi. Jika pemeriksaan sebelumnya tersebut berhasil, pengguna akan disajikan dengan jendela aksesibilitas Android default, karena malware sangat bergantung pada aksesibilitas untuk bekerja.

“Google Docs” meminta Anda untuk memberikan izin Aksesibilitas  Image Source:  (securelist .com )

S

Setelah diinstal di ponsel, aplikasi akan menyalahgunakan Mode Aksesibilitas untuk mendapatkan ketekunan, menonaktifkan penghapusan manual, dan memungkinkan trojan perbankan untuk mengambil data, memanipulasi konten layar, dan memberikan kendali jarak jauh penuh kepada penipu.

Menjalankan Remote Control Di Ponsel Anda

Setelah penginstalan selesai, Ghimob mencoba menyembunyikan keberadaannya dengan menyembunyikan ikon dari tampilan aplikasi. Malware akan mendekripsi daftar penyedia C2 yang di-hardcode dari file konfigurasinya dan menghubungi masing-masing untuk menerima alamat C2 yang sebenarnya, teknik yang disebut "saluran fallback".

Penyedia C2 yang ditemukan sama di semua sampel yang analisis, tetapi parameter direktori permintaan untuk mendapatkan C2 yang sebenarnya bervariasi di antara sampel yang berbeda, mengembalikan kumpulan alamat C2 yang berbeda. Semua komunikasi dilakukan melalui protokol HTTP / HTTPS.

Alih-alih merekam layar pengguna melalui MediaProjection API, seperti yang dilakukan BRATA, Ghimob mengirimkan informasi terkait aksesibilitas dari jendela aktif saat ini, seperti yang dapat dilihat di bawah dari keluaran perintah "301" yang dikembalikan dari C2. Semua perintah yang digunakan oleh RAT dijelaskan dalam laporan pribadi kami untuk pelanggan Portal Intel Ancaman Keuangan kami.

Client:[TARGETED APP] ID: xDROID_smg930a7.1.125_7206eee5b3775586310270_3.1 Data:Sep 24 2020 3:23:28 PM Ref:unknown SAMSUNG-SM-G930A 7.1.1 25 KeySec:trueKeyLock:falseDevSec:trueDevLock:false com.sysdroidxx.addons - v:3.1 Ativar Google Docs ======================================= Link Conexao:hxxp://www.realcc.com Senha de 8 digitos:12345678 Senha de 6 digitos:123456 ======================================= ============== LOG GERAL ============== ======================================= 22{< x >}[com.android.launcher3]--[TEXTO:null]--[ID:com.android.launcher3:id/apps_list_view]--[DESCRICAO:null]--[CLASSE:android.support.v7.widget.RecyclerView] 22{< x >}[com.android.launcher3]--[TEXTO:null]--[ID:com.android.launcher3:id/apps_list_view]--[DESCRICAO:null]--[CLASSE:android.support.v7.widget.RecyclerView] 22{< x >}[com.android.launcher3]--[TEXTO:null]--[ID:com.android.launcher3:id/apps_list_view]--[DESCRICAO:null]--[CLASSE:android.support.v7.widget.RecyclerView] 16{< x >}[targeted app]--[TEXTO:]--[ID:null]--[DESCRICAO:Senha de 8 digitos]--[CLASSE:android.widget.EditText] 0{< >}[targeted app]--[TEXTO:null]--[ID:null]--[DESCRICAO:null]--[CLASSE:android.widget.FrameLayout] 1{< >}[targeted app]--[TEXTO:null]--[ID:null]--[DESCRICAO:null]--[CLASSE:android.widget.LinearLayout] 2{< >}[targeted app]--[TEXTO:null]--[ID:android:id/content]--[DESCRICAO:null]--[CLASSE:android.widget.FrameLayout] 3{< >}[targeted app]--[TEXTO:null]--[ID:null]--[DESCRICAO:null]--[CLASSE:android.widget.FrameLayout] ======================================= ================ SALDOS =============== ======================================= [DESCRICAO: Rolando Lero Agencia: 111. Digito 6. Conta-corrente: 22222. Digito .7]-- [TEXTO:Account Rolando Lero] [DESCRICAO:Agencia: 111. Digito 6. Conta-corrente: 22222. Digito .7]--[TEXTO:111-6 22222-7] [DESCRICAO:Saldo disponivel R$ 7000,00]-- [DESCRICAO:7000,00]--[TEXTO:R$ 7000,00] [TEXTO:Saldo disponivel] [DESCRICAO:Agendado ate 04/Out R$ 6000,00 ]-- [DESCRICAO:6000,00 ]--[TEXTO:R$ 6000,00 ] [TEXTO:Agendado ate 04/Out]

Hal ini mungkin disebabkan oleh kecepatan Internet yang rendah di Brasil: mengirim informasi teks dari waktu ke waktu menghabiskan lebih sedikit bandwidth daripada mengirim rekaman layar secara real time, sehingga meningkatkan peluang penipuan yang berhasil untuk penjahat dunia maya. 

Meskipun BRATA menggunakan overlay dengan WebView palsu untuk mencuri kredensial, Ghimob tidak perlu melakukan itu, karena BRATA membaca kolom secara langsung dari aplikasi target melalui fitur aksesibilitas. Kata-kata berikut dalam bahasa Portugis dipantau: saldo (saldo), investimento (investasi), empréstimo (lending), extrato (pernyataan).

Kesimpulan

Butuh beberapa waktu bagi penjahat Brasil untuk memutuskan mencoba membuat trojan mobile banking dengan jangkauan di seluruh dunia. Pertama, kami melihat Basbanke, lalu BRATA, tetapi keduanya sangat fokus pada pasar Brasil. Faktanya, Ghimob adalah trojan mobile banking Brasil pertama yang siap untuk memperluas dan menargetkan lembaga keuangan dan pelanggan mereka yang tinggal di negara lain. 

Temuan telemetri kami telah mengonfirmasi korban di Brasil, tetapi seperti yang kami lihat, trojan tersebut sangat siap untuk mencuri kredensial dari bank, fintech, bursa, bursa kripto, dan kartu kredit dari lembaga keuangan yang beroperasi di banyak negara, jadi secara alami akan menjadi internasional. ekspansi.

kampanye ini dapat dikaitkan dengan aktor ancaman Guildma, trojan perbankan Brasil yang terkenal, karena beberapa alasan, tetapi terutama karena mereka berbagi infrastruktur yang sama. Penting juga untuk dicatat bahwa protokol yang digunakan dalam versi seluler sangat mirip dengan yang digunakan untuk versi Windows.

Solusi Untuk Penanganan Trojan Perbankan Ghimob

Bagaimana melindungi diri Anda dari Trojan mobile banking

NusaPedia merekomendasikan pengguna untuk mengambil tindakan berikut untuk melindungi diri mereka dari jenis ancaman ini:

Verifikasikan bahwa aplikasi perbankan Anda bersertifikat. Jika antarmuka tampak asing atau aneh, periksa kembali dengan tim layanan pelanggan bank.

Gunakan otentikasi dua faktor jika bank menawarkannya sebagai opsi.

Andalkan hanya toko aplikasi yang andal, seperti Google Play atau App Store Apple. Meskipun malware yang dimaksud ada di Google Play, muatannya diunduh dari sumber eksternal. 

Menonaktifkan opsi untuk mengunduh aplikasi dari sumber lain  : Trojan perbankan jenis ini dapat dihindari.

Sebelum mengunduh aplikasi baru, periksa peringkat pengguna: Jika ada banyak ulasan negatif, mungkin itu adalah aplikasi yang tidak boleh digunakan.

Perhatikan izin yang dibutuhkan oleh suatu aplikasi : Jika ada permintaan yang berlebihan, itu akan dianggap sebagai bel alarm.

Perangkat lunak perusak sering kali meminta untuk menjadi administrator perangkat untuk mengontrolnya. 

Jangan pernah memberikan izin ini kecuali Anda menganggapnya benar-benar perlu.

Gunakan aplikasi keamanan yang juga mendeteksi dan melindungi dari ancaman jenis ini.

Produk Anti Virus mendeteksi keluarga ini sebagai 

Kaspersky: Trojan-Banker.AndroidOS.Ghimob.

Microsoft : Trojan:AndroidOS/Ghimob.A!MTB

Share this post