A versão móvel do trojan bancário Guildma, que pesquisadores da Kaspersky batizaram de Ghimob, está em campanhas de ataque a serviços financeiros no Brasil. Os alvos são clientes de bancos, fintechs, corretoras de valores tradicionais e corretoras de criptomoedas. Os pesquisadores descobriram também que o código foi planejado e desenvolvido opara que o Ghimob possa operar ataques na América Latina, Europa e África.
O trojan foi desenvolvido com a capacidade de espionar mais de 110 apps de instituições bancárias no Brasil. Além disso, o Ghimob ainda tem como alvo 13 aplicativos de criptomoeda de diferentes países, e nove sistemas internacionais de pagamento e mobile banking: cinco da Alemanha, três de Portugal, dois do Peru, dois do Paraguai, um em Angola e um em Moçambique.
Veja isso
Cibercrime internacional já opera com trojans feitos no Brasil
Força-tarefa internacional contra cibercrimes
Para realizar as transações fraudulentas, os criminosos colocam uma tela em branco, preta ou um site em tela cheia para esconder suas atividades. “A tela preta ainda é usada para forçar a vítima a usar a biometria para ‘destravar’ a tela e, assim, roubar esta forma de autenticação”, ressalta Fabio Assolini, especialista de segurança da Kaspersky no Brasil.
Para realizar a infecção do celular, os criminosos enviam campanhas massivas de phishing dizendo que a pessoa tem uma dívida, com um link para que a vítima visualize detalhes do débito. Assim que o RAT (tipo de trojan que usa acesso remoto) é instalado, ele envia uma mensagem ao criminoso avisando que a infecção foi bem-sucedida, informando ainda o modelo do telefone, existência ou não de tela de bloqueio e uma lista de todos os aplicativos instalados que o malware pode atacar.
Os criminosos assim conseguem acessar remotamente o dispositivo infectado e realizar transações usando o smartphone da vítima – isto evita a detecção da fraude por tecnologias de fingerprint e antifraude (detecção por comportamento) que as instituições financeiras utilizam. Outra característica interessante é que o trojan consegue destravar o celular, mesmo que este use um padrão (desenho) de bloqueio, ou mesmo que seja uma senha, pois o trojan consegue gravá-lo e reproduzi-lo.
