Ghimob: Dieser Banking-Trojaner attackiert mobile Nutzer in Deutschland

Kaspersky-Forscher haben einen neuen Banking-Trojaner gefunden, der Nutzer in Deutschland, aber auch weltweit attackiert. Der Remote Access Trojaner (RAT) ,Ghimob’ wurde im Zuge der Überwachung einer gegen Windows gerichteten, maliziösen Kampagne durch die Banking-Malware Guildma entdeckt. Die Malware kann fünf Apps deutscher Banken ausspionieren und kennt insgesamt 153 Finanz-Apps aus dem Banking- und FinTech-Umfeld weltweit. Dabei haben die Kaspersky-Forscher URLs, die nicht nur eine schädliche .ZIP-Datei für Windows verbreiteten, sondern auch einen Downloader für Ghimob entdeckt.

Der neue Banking-Trojaner Ghimob versucht, die Opfer dazu zu bringen, die schädliche Datei über eine E-Mail zu installieren, die darauf hinweist, dass man Schulden hätte. Hierzu enthält die Mail einen Link, der zu weiteren Informationen führen soll. Sobald der Remote Access Trojaner (RAT) installiert ist, sendet die Malware eine Nachricht über die erfolgreiche Infektion an den Server. Diese enthält Informationen zum Telefonmodell, außerdem die Angabe, ob es über eine Bildschirmsperre verfügt, und eine Liste aller installierten Anwendungen, die die Malware attackieren kann.

Ghimob kann insgesamt 153 unterschiedliche Apps ausspionieren. Dabei handelt es sich überwiegend um Anwendungen von Banken, FinTech-Unternehmen, Kryptowährungen und Börsen. Fünf dieser Apps stammen von Banken in Deutschland. Welche dies sind, teilt Kaspersky allerdings leider nicht mit. Die Ziele von Ghimob befinden sich in Brasilien, Paraguay, Peru, Portugal, Deutschland, Angola und Mosambik.

Banking-Trojaner Ghimob umgeht sogar den Sperrbildschirm

Funktional gesehen ist Ghimob ein Spion, den sein Opfer ständig mit sich herumträgt. Die Cyberkriminellen können per Fernzugriff auf das infizierte Gerät zugreifen und betrügerische Aktivitäten ausführen. Durch die Verwendung des Smartphones des Opfers können sie vermeiden, dass Finanzinstitute und deren Anti-Fraud-Systeme sie identifizieren und daraufhin mögliche Sicherheitsmaßnahmen ergreifen. Selbst wenn der Nutzer ein Sperrbildschirmmuster verwendet, ist Ghimob in der Lage, dieses aufzunehmen und abzuspielen, um das Gerät zu entsperren.

Bei der Durchführung einer betrügerischen Transaktion können die Angreifer ein schwarzes Bildschirm-Overlay anzeigen oder einige Webseiten im Vollbildmodus öffnen. Der Betrugsprozess wird, während der Nutzer auf seinen Bildschirm blickt, im Hintergrund ausgeführt. Hierbei werden bereits geöffnete oder in angemeldeten Finanz-Apps genutzt, die auf dem Gerät installiert sind.

Tatsächlich ist Ghimob der erste brasilianische Mobile-Banking-Trojaner, der für die internationale Expansion bereit ist. Wir denken, dass diese neue Kampagne mit dem Guildma-Bedrohungsakteur in Verbindung gebracht werden kann, der für einen bekannten brasilianischen Banking-Trojaner verantwortlich ist.”

Fabio Assolini, Sicherheitsexperte bei Kaspersky

Kaspersky rät Banken, aktuelle Bedrohungsdaten zu nutzen

Ein Indiz hierfür sei unter anderem insbesondere die Nutzung derselben Infrastruktur. Kaspersky empfiehlt Finanzinstituten, diese Bedrohungen genau zu beobachten und gleichzeitig ihre Authentifizierungsverfahren zu optimieren, die Qualität ihrer Betrugsbekämpfungstechnologie und den Einblick in aktuelle Bedrohungsdaten zu verbessern sowie zu versuchen, alle Risiken dieser neuen mobilen RAT-Familie zu verstehen und zu minimieren.

Alle Details und IoCs, die mit dieser Bedrohung in Verbindung stehen, werden den Nutzern der Financial-Threat-Intelligence-Dienste von Kaspersky zur Verfügung gestellt. Kaspersky-Produkte erkennen die neue Malware als Trojan-Banker.AndroidOS.Ghimob. tw