Actualités

Ghimob : quand un trojan bancaire infecte et espionne 153 applications mobiles sous Android ! (“The Pentade” familly…)

Les chercheurs de SecureList (Kaspersky) viennent de mettre en lumière un nouveau-né de la famille “the tetrade” : Ghimob, un trojan bancaire spécialisé dans la crypto-monnaie et impactant pas moins de 153 applications sous le Google Play Store…

 

 

Petit retour en arrière : prisant à leurs débuts les établissements bancaires brésiliens, très vite, la cyber-attaque s’est étendue à l’Internet. Au nombre de quatre (Guildma, Javali, Melcoz et El Gran Grandoreiro), “the tetrade” ont adopté des stratégies modernes : malgré les nombreuses parades sécuritaires (double-authentification, mot de passe comple, token…) des éditeurs, la famille de trojan a muté en MaaS (Malware-as-a-Service) pour étendre leur viralité malveillante autre que dans le Brésil (Chilie, Mexique, Espagne, Portugal voire, suivant le type de trojan, Uruguay, Pérou, Équateur, Colombie, Chine, Europe)  via des offres aussi alléchantes que dangereuses. Au 14 Juillet dernier, Kaspersky alertait sur une adaptation des cyber-appâts en utilisant, par exemple, la pandémie internationale sanitaire de COVID-19 comme vecteur initial. L’une des premières date d’observation officiellement confirmée remonte à 2015 pour l’un des malwares.

Ghimob vient, ainsi, compléter cette photo de famille du genre avec une viralité atteignant, également, des pays comme l’Angola, l’Allemagne ou encore le Mozambique ; en notant que pour l’heure, si les cibles sont multiples, seuls des victimes résidant au Brésil ont, semble t-il, mordu à l’hameçon. Côté modus operandi, voici un condensé :

 

  • Sur les pas de Guildma, Ghimob utilise l’URL comme vecteur initial,
  • Charge malveillante au sein d’un mail convaincant : informations de l’application, traitement sécuritaire,
  • Une fois le lien cliqué, des archives (.ZIP) sont distillées ainsi que des fichiers (APK),
  • L’installation s’opère (un faux installateur d’application du moment), une fois le dossier ou fichier ouvert (sous Android),
  • Détection des émulateurs et débogueurs (arrêt si présence détectée !),
  • Intrusion depuis le mode Accessibilité du système mobile,
  • Envoi (notification) distant depuis le serveur dédié (infection effective) : collecte des informations du téléphone,
  • Désactivation de la désinstallation, de l’arrêt ou du redémarrage manuel
  • Fonctions : tronquer l’affichage-écran, command-and-control depuis un listing (en dur) de fournisseurs-éditeurs.

 

“Nous recommandons aux institutions financières de surveiller de près ces menaces, tout en améliorant leurs processus d’authentification, en renforçant la technologie anti-fraude et les données sur les menaces, et en essayant de comprendre et d’atténuer tous les risques que cette nouvelle famille RAT mobile pose“, recommande l’éditeur de solutions sécuritaires… A veiller !

 

 

Source : SecureList – 9 Novembre 2020 – Ghimob : nouveau trojan s’ajoutant à la famille The Tetrade.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0