Pesquisadores de segurança descobriram um novo malware Android que pode espionar e roubar dados de 153 aplicativos. Batizado de Ghimob, acredita-se que o malware tenha sido desenvolvido pelo mesmo grupo por trás do malware Astaroth (Guildma) do Windows.
A Kaspersky diz que o novo malware foi oferecido para download dentro de aplicativos Android maliciosos em sites e servidores usados anteriormente pela operação Astaroth. A distribuição nunca foi realizada através da Play Store. Em vez disso, o grupo usou e-mails ou sites maliciosos para redirecionar os usuários a sites que promovam aplicativos Android.
Novo malware Ghimob pode espionar 153 aplicativos Android
Esses aplicativos imitaram aplicativos e marcas oficiais, com nomes como Google Docs, WhatsApp Updater ou Flash Update. Se os usuários fossem descuidados o suficiente para instalar os aplicativos, apesar de todos os avisos exibidos em seus dispositivos, os aplicativos solicitariam acesso ao serviço de acessibilidade como uma etapa final no processo de infecção.
Se o acesso fosse concedido, os aplicativos iriam procurar no telefone infectado uma lista de 153 aplicativos para os quais mostraria páginas de login falsas na tentativa de roubar as credenciais do usuário.
A maioria dos aplicativos eram direcionados para bancos brasileiros; mas em versões atualizadas, o Ghimob também expandiu seus recursos para começar a atingir bancos na Alemanha, Portugal, Peru, Paraguai, Angola e Moçambique.
Além disso, o malware adicionou uma atualização para direcionar aplicativos de exchanges de criptomoeda nas tentativas de obter acesso a contas de criptomoeda.
Depois que qualquer tentativa era bem-sucedida, todas as credenciais coletadas eram enviadas de volta para a gangue, que acessava a conta da vítima e iniciava transações ilegais.
A gangue Ghimob usava seu controle total sobre o dispositivo (por meio do serviço de acessibilidade) para responder a quaisquer sondagens e avisos de segurança mostrados no smartphone atacado.
ZDNET
Pesquisadores identificaram um novo malware Android apelidado de Alien
Novo malware deseja adicionar seus servidores Linux a botnet
64 novas variantes do malware Joker invadiram as lojas de aplicativos Android