Recentissime notizie ci conducono ad una individuazione fatta dai ricercatori di sicurezza Kaspersky, i quali hanno scovato un nuovo malware su Android con funzionalità di accesso da remoto. Il succitato è capace di spiare le app che stiamo utilizzando. Ciò può essere un qualcosa di estremamente negativo, soprattutto nel momento in cui andiamo ad utilizzare app per il digital banking.
Il malware è anche conosciuto come Ghimob, e, andando più nel particolare, si tratta di un trojan prevalentemente bancario. Sembra che lo sviluppo di tale app sia stato effettuato dallo stesso sviluppatore di Astaroth per Windows.
In questo caso, rispetto a tanti altri malware che si sono diffusi su Android, Ghimob non ha mai visto la sua distribuzione sul Play Store. Infatti, la sua diffusione è avvenuta prevalentemente tramite campagne di phishing che, come ben sappiamo, conducono a siti web fake. Su questi siti possiamo trovare numerose app e link che fanno finta di essere risorse ufficiali. I loro nomi sono vari, possono essere Google Defender, Google Docs, WhatsApp Updater o Flash Update.
Malware su Android, lo scopo di Ghimob è lo stesso di molti altri trojan: rubare le vostre credenziali bancarie
Nel caso in cui dovessimo eventualmente scaricare una di queste app e installarle, il malware chiede l’autorizzazione per utilizzare tutti i servizi di accessibilità dell’utente. Ciò certifica l’entrata sicura del trojan nel nostro device.
Dunque, nel caso in cui dovessimo consentire l’autorizzazione, il malware si insinua nello smartphone ed è capace di spiare oltre 153 app specifiche. Ghimob si muoverà in questo modo: mostrerà delle pagine fake agli utenti in modo tale che questi ultimi inseriscano le loro credenziali personali nei loro data server e il gioco è fatto.
Una grande parte di queste applicazioni sono concernenti Istituti bancari situati in Brasile. Tuttavia, i ricercatori Kaspersky hanno scovato delle versioni ben più recenti del malware, le quali hanno lo possibilità di spiare cinque banche tedesche, tre portoghesi, due peruviane, due paraguaiane, una in Angola e Mozambico. La storia, inoltre, sembra non terminare qui: Ghimob si occupa anche di spiare le app di servizi di cambio di criptovalute.
Se Ghimob riesce a carpire delle credenziali, verranno automaticamente inviate all’autore del trojan, così da riuscire ad entrare nel vostro home banking indisturbato. Molti si sentono al sicuro nel momento in cui hanno introdotto come misura di sicurezza l’autenticazione a due fattori, ma purtroppo non lo siete. Infatti, Ghimob tenterà di prendere il controllo dello smartphone da remoto della vittima cercando di intercettare le misure di verifica e inserirle nell’home banking.
Altri trojan bancari hanno le stesse funzioni di Ghimob: BlaccRock o Alien, per citarne qualcuno. Ma Kaspersky ci tiene a sottolineare come lo sviluppo del malware Ghimob segua una tendenza comune dei malware brasiliani, ossia quella di partire come “malware locale”, fino ad estendersi in tutto il globo.