A Kaspersky descobriu novas características da versão mobile do malware Guildma, identificado no final de setembro, e decidiu tratá-lo como uma nova família: o Ghimob. Entre as principais descobertas recentes está a confirmação que o trojan está preparado para atuar fora do Brasil e os alvos são bancos, fintechs, corretoras de valores e também de criptomoedas, localizadas na América Latina, Europa e África. No Brasil, ele está com campanhas massivas ativas.
Para realizar a infecção do celular, os criminosos enviam campanhas massivas de phishing dizendo que a pessoa tem uma dívida, com um link para que a vítima tenha detalhes do débito. Assim que o RAT (tipo de trojan que usa acesso remoto) é instalado, ele envia uma mensagem ao criminoso avisando que a infecção foi bem-sucedida com o modelo do telefone, se há tela de bloqueio de segurança e uma lista de todos os aplicativos instalados que o malware pode atacar.
Os criminosos usam o Ghimob para acessar remotamente o dispositivo infectado e realizar transações usando o smartphone da vítima – isto evita a detecção da fraude por tecnologias de fingerprint e antifraude (detecção por comportamento) que as instituições financeiras utilizam. Para realizar as transações fraudulentas, os criminosos colocam uma tela em branco, tela preta ou um site com tela cheia para esconder sua atividade. Outra característica interessante é que o trojan consegue destravar o celular, mesmo que este use um padrão (desenho) de bloqueio, ou mesmo que seja uma senha, pois o trojan consegue gravá-lo e reproduzi-lo.
O que chama atenção é a extensa lista de aplicações que o Ghimob pode espionar, que conta com mais de 110 apps de instituições bancárias no Brasil. Além disso, o trojan ainda tem como alvo aplicativos de criptomoeda de diferentes países (13 apps), sistemas internacionais de pagamento (9 apps) e mobile banking de instituições que operam na Alemanha (5 aplicativos), Portugal (3 aplicativos), Peru (2 aplicativos), Paraguai (2 aplicativos), Angola e Moçambique (1 aplicativo de cada país).
Ainda segundo a Kaspersky, o Ghimob é o primeiro trojan para mobile banking brasileiro pronto para ser internacionalizado, o que deve acontecer em pouco tempo, uma vez que ele compartilha a mesma infraestrutura do Guildma, um trojan para Windows que já atua fora do país.
