Бразильская малварь научилась атаковать и мобильные устройства по всему миру - «Новости»
sitename
Поезд на водородном топливе установил рекорд, проехав без остановок 2803 км - «Новости сети»
Поезд на водородном топливе установил рекорд, проехав без остановок 2803 км - «Новости сети»
Гидроэлектростанции уличили в масштабных выбросах метана, и это серьёзная проблема - «Новости сети»
Гидроэлектростанции уличили в масштабных выбросах метана, и это серьёзная проблема - «Новости сети»
С 1 апреля порог беспошлинного ввоза товаров снизится до €200 — электроника подорожает на 15–20 % - «Новости сети»
С 1 апреля порог беспошлинного ввоза товаров снизится до €200 — электроника подорожает на 15–20 % - «Новости сети»
Энтузиаст с нуля создал видеокарту и запустил на ней Quake - «Новости сети»
Энтузиаст с нуля создал видеокарту и запустил на ней Quake - «Новости сети»
Недалеко от Земли «Джеймс Уэбб» обнаружил потенциально обитаемую планету-океан - «Новости сети»
Недалеко от Земли «Джеймс Уэбб» обнаружил потенциально обитаемую планету-океан - «Новости сети»
Lesta Games выразила готовность выпустить «Мир танков» и «Мир кораблей» на российской консоли - «Новости сети»
Lesta Games выразила готовность выпустить «Мир танков» и «Мир кораблей» на российской консоли - «Новости сети»
«Это позор»: первое платное дополнение к Cities: Skylines II получило 96 % отрицательных отзывов в Steam - «Новости сети»
«Это позор»: первое платное дополнение к Cities: Skylines II получило 96 % отрицательных отзывов в Steam - «Новости сети»
Тысячи телефонов и маршрутизаторов оказались подключены к прокси-сервисам без ведома владельцев - «Новости сети»
Тысячи телефонов и маршрутизаторов оказались подключены к прокси-сервисам без ведома владельцев - «Новости сети»
Сбой в драйвере GeForce RTX 4080 стоил команде Virtus.pro шанса на победу в турнире с призовым фондом $1,25 млн - «Новости сети»
Сбой в драйвере GeForce RTX 4080 стоил команде Virtus.pro шанса на победу в турнире с призовым фондом $1,25 млн - «Новости сети»
The Callisto Protocol наконец избавили от Denuvo — игру тут же выложили на торренты - «Новости сети»
The Callisto Protocol наконец избавили от Denuvo — игру тут же выложили на торренты - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Заработок » Бразильская малварь научилась атаковать и мобильные устройства по всему миру - «Новости»

Исследователи «Лаборатории Касперского» предупреждают, что бразильская малварь выходит не только за пределы страны, но и на новый уровень: теперь она атакует и мобильные устройства. Так, в семействе бразильских банковских троянов Guildma появился новый вредонос Ghimob. С его помощью атакующие шпионят за своими жертвами, расположенными в том числе в Парагвае, Перу, Португалии, Германии, Анголе и Мозамбике.


Распространяется малварь через вредоносные письма, якобы сообщающие о долге, который числится за адресатом. Получателю предлагается пройти по ссылке, чтобы узнать о проблеме больше. Если пользователь нажимает на ссылку, в систему загружается троян удаленного доступа.


Бразильская малварь научилась атаковать и мобильные устройства по всему миру - «Новости»

Вредоносное письмо

Исследователи обнаружили ссылки, используемые одновременно для распространения как ZIP-файлов для Windows, так и APK-файлов для мобильных девайсов. Если при нажатии на вредоносную ссылку user agent будет определен как браузер в системе Android, то по ссылке загрузится APK-файл инсталлятора Ghimob. Распространяемые таким образом APK-пакеты маскируются под установщики популярных приложений; они не представлены в Google Play, а размещены на нескольких доменах, зарегистрированных операторами малвари.


После успешной установки малварь передает на управляющий сервер информацию о модели зараженного мобильного устройства, о том, есть ли на нем настройки блокировки экрана, а также список приложений.


По данным экспертов, Ghimob может шпионить за 153 мобильными приложениями, в основном принадлежащими банкам, финтех-компаниям, криптовалютным биржам. Троян умеет избегать ручного отключения, собирать данные, манипулировать тем, что изображено на экране, и предоставлять злоумышленникам возможность полностью контролировать устройство с помощью инструментов удаленного доступа.


Ghimob может скрываться от защитных систем, внедряемых финансовыми организациями, и разблокировать экран устройства, так как обладает функцией записи и воспроизведения действий пользователя, в том числе связанных с вводом пароля. Для проведения мошеннической транзакции злоумышленники могут принудительно выключить экран устройства или воспользоваться уже открытым финансовым приложением в фоне, пока человек видит на экране другое приложение.


С технической точки зрения Ghimob интересен тем, что он использует запасные командные серверы, защищенные Cloudflare, скрывает свой настоящий командный сервер с помощью DGA. Тем не менее, пока исследователи не обнаружили никаких признаков коммерческого использования этого вредоносного ПО по схеме MaaS («вредоносное ПО как услуга»).


Отмечается, что по сравнению с BRATA или Basbanke (еще одним бразильским семейством мобильных банковских троянов), Ghimob является намного более продвинутым, обладает расширенным набором функций и основательнее закрепляется на целевых устройствах.


«Желание латиноамериканских злоумышленников распространить мобильные банковские троянцы по всему миру имеет долгую историю. Мы уже видели Basbanke, BRata, но они фокусировались на бразильском рынке. Ghimob — первый мобильный банковский троянец бразильского происхождения, готовый к международному распространению. Мы полагаем, что этот зловред относится к семейству Guildma по нескольким причинам, но главным образом потому, что они используют одну и ту же инфраструктуру. Мы рекомендуем финансовым организациям пристально следить за этими угрозами и одновременно улучшать процессы аутентификации, внедрять технологии борьбы с мошенничеством и использовать аналитические данные об угрозах, чтобы снизить вероятность успешных атак этого мобильного банковского троянца», — комментирует Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».


Исследователи «Лаборатории Касперского» предупреждают, что бразильская малварь выходит не только за пределы страны, но и на новый уровень: теперь она атакует и мобильные устройства. Так, в семействе бразильских банковских троянов Guildma появился новый вредонос Ghimob. С его помощью атакующие шпионят за своими жертвами, расположенными в том числе в Парагвае, Перу, Португалии, Германии, Анголе и Мозамбике. Распространяется малварь через вредоносные письма, якобы сообщающие о долге, который числится за адресатом. Получателю предлагается пройти по ссылке, чтобы узнать о проблеме больше. Если пользователь нажимает на ссылку, в систему загружается троян удаленного доступа. Вредоносное письмо Исследователи обнаружили ссылки, используемые одновременно для распространения как ZIP-файлов для Windows, так и APK-файлов для мобильных девайсов. Если при нажатии на вредоносную ссылку user agent будет определен как браузер в системе Android, то по ссылке загрузится APK-файл инсталлятора Ghimob. Распространяемые таким образом APK-пакеты маскируются под установщики популярных приложений; они не представлены в Google Play, а размещены на нескольких доменах, зарегистрированных операторами малвари. После успешной установки малварь передает на управляющий сервер информацию о модели зараженного мобильного устройства, о том, есть ли на нем настройки блокировки экрана, а также список приложений. По данным экспертов, Ghimob может шпионить за 153 мобильными приложениями, в основном принадлежащими банкам, финтех-компаниям, криптовалютным биржам. Троян умеет избегать ручного отключения, собирать данные, манипулировать тем, что изображено на экране, и предоставлять злоумышленникам возможность полностью контролировать устройство с помощью инструментов удаленного доступа. Ghimob может скрываться от защитных систем, внедряемых финансовыми организациями, и разблокировать экран устройства, так как обладает функцией записи и воспроизведения действий пользователя, в том числе связанных с вводом пароля. Для проведения мошеннической транзакции злоумышленники могут принудительно выключить экран устройства или воспользоваться уже открытым финансовым приложением в фоне, пока человек видит на экране другое приложение. С технической точки зрения Ghimob интересен тем, что он использует запасные командные серверы, защищенные Cloudflare, скрывает свой настоящий командный сервер с помощью DGA. Тем не менее, пока исследователи не обнаружили никаких признаков коммерческого использования этого вредоносного ПО по схеме MaaS («вредоносное ПО как услуга»). Отмечается, что по сравнению с BRATA или Basbanke (еще одним бразильским семейством мобильных банковских троянов), Ghimob является намного более продвинутым, обладает расширенным набором функций и основательнее закрепляется на целевых устройствах. «Желание латиноамериканских злоумышленников распространить мобильные банковские троянцы по всему миру имеет долгую историю. Мы уже видели Basbanke, BRata, но они фокусировались на бразильском рынке. Ghimob — первый мобильный банковский троянец бразильского происхождения, готовый к международному распространению. Мы полагаем, что этот зловред относится к семейству Guildma по нескольким причинам, но главным образом потому, что они используют одну и ту же инфраструктуру. Мы рекомендуем финансовым организациям пристально следить за этими угрозами и одновременно улучшать процессы аутентификации, внедрять технологии борьбы с мошенничеством и использовать аналитические данные об угрозах, чтобы снизить вероятность успешных атак этого мобильного банковского троянца», — комментирует Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».
CSS
запостил(а)
Calhoun
Вернуться назад

Смотрите также

А что там на главной? )))



Комментарии )))



Комментарии для сайта Cackle
Войти через:
Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика