Trong quá trình theo dõi một chiến dịch nhắm vào ngành ngân hàng và tấn công vào các thiết bị chạy hệ điều hành Windows của mã độc Guildma, các nhà nghiên cứu của Kaspersky đã phát hiện ra rằng, những URL này không chỉ phát tán các file mã độc .ZIP đến các thiết bị Windows, mà còn phát tán cả một file mã độc dưới dạng một trình tải file (downloader) để cài đặt Ghimob – một Trojan mới nhắm vào ngành ngân hàng.
| Khi chuyển sang Chế độ Truy cập (Accessibility Mode), Ghimob có thể ẩn nấp và vô hiệu hóa chế độ gỡ cài đặt thủ công, thu thập dữ liệu, kiểm soát nội dung màn hình và cung cấp toàn quyền điều khiển từ xa cho tin tặc. Theo các chuyên gia, những tin tặc phát triển RAT (Remote Access Trojan - Trojan Truy cập Từ xa) di động đặc thù này tập trung cao độ vào người dùng tại Brazil nhưng hiện tại chiến dịch này vẫn đang hoạt động với kế hoạch đầy tham vọng là mở rộng phạm vi tấn công ra toàn cầu. |
| Ghimob có thể do thám 153 ứng dụng di động, chủ yếu là những ứng dụng di động từ các ngân hàng, tiền mã hóa, và thị trường chứng khoán. |
| Ngay cả khi người dùng sử dụng một màn hình khóa, Ghimob vẫn có thể ghi và phát lại để mở khóa thiết bị. Khi các tin tặc phát triển mã độc sẵn sàng thực hiện một giao dịch gian lận, chúng có thể chèn một màn hình đen hoặc mở một số trang web trong chế độ toàn màn hình. Sau đó, khi người dùng khóa ở màn hình, các tin tặc phát triển mã độc thực hiện giao dịch gian lận trong chế độ ngầm, thông qua ứng dụng tài chính đang chạy trên thiết bị. |
Ông Fabio Assolini, chuyên gia bảo mật của Kaspersky chia sẻ: “Trên thực tế, Ghimob chính là mã độc Trojan ngân hàng trên điện thoại đầu tiên của Brazil sẵn sàng mở rộng ra phạm vi quốc tế. Chúng tôi cho rằng chiến dịch mới này có thể liên quan đến nhóm tin tặc Guildma, nhóm chịu trách nhiệm về mã độc Trojan nổi tiếng của Brazil, đặc biệt là do chúng có chung một cơ sở hạ tầng. Chúng tôi khuyến nghị các tổ chức tài chính cần theo dõi các mối đe dọa bảo mật này một cách chặt chẽ, đồng thời cải tiến quy trình xác thực, tăng cường công nghệ chống gian lận và dữ liệu, thông tin về mối đe dọa bảo mật cũng như tìm hiểu và giảm thiểu toàn bộ rủi ro gây bởi RAT di động này”.
| Kaspersky khuyến nghị thực hiện các biện pháp bảo mật: • Cung cấp cho bộ phận SOC của doanh nghiệp khả năng truy cập vào những thông tin cập nhật nhất về mối đe dọa bảo mật (threat intelligence - TI). Cổng thông tin về nguy cơ bảo mật của Kaspersky cấp quyền truy cập thông tin nguy cơ bảo mật (TI) của công ty, cung cấp thông tin và dữ liệu về các vụ tấn công an ninh mạng được Kaspersky thu thập trong suốt hơn 20 năm qua. • Nâng cao nhận thức của khách hàng về những cách thức mà tin tặc có thể sử dụng. Thường xuyên cập nhật thông tin cho khách hàng về cách phát hiện gian lận và biện pháp xử lý trong tình huống đó. • Triển khai giải pháp phòng chống gian lận, như Kaspersky Fraud Prevention. Giải pháp có thể bảo vệ kênh di động trong các trường hợp tin tặc sử dụng cơ chế điều khiển từ xa để thực hiện giao dịch gian lận. Giải pháp có thể phát hiện cả mã độc RAT trên thiết bị và nhận biết các dấu hiệu điều khiển từ xa thông qua phần mềm hợp pháp. |
