Virus troyano Android ataca apps de bancos y criptomonedas en América Latina
Este 9 de noviembre, la firma de ciberseguridad Kaspersky emitió una alerta acerca de un nuevo troyano dirigido a dispositivos móviles Android a escala mundial, que puede atacar a más de 150 aplicaciones de criptomonedas y bancarias en varios países, incluyendo Perú, Paraguay y Brasil.
Esta nueva amenaza tiene su origen en Brasil y ha sido identificada como Ghimob por Kaspersky. Según la firma de ciberseguridad, Ghimob es un malware móvil mucho más avanzado que otros troyanos semejantes, como BRATA y Basbanke, y “es el primer troyano bancario brasileño capaz de expandirse y atacar tanto a instituciones financieras como a sus clientes basados en otros países“, explicó Kaspersky.
Ghimob puede espiar 153 aplicaciones a nivel mundial
El equipo de Kaspersky señala que, a un ritmo “lento pero seguro”, Ghimob ya ha logrado infectar a dispositivos móviles y que, hasta ahora, todas sus víctimas se encuentran en Brasil, de acuerdo con análisis de telemetría de la firma de ciberseguridad.
Sin embargo, Ghimob está diseñado para robar credenciales y posteriormente fondos de aplicaciones móviles bancarias, de inversiones, de FinTech y criptomonedas, así como también de tarjetas de crédito de instituciones financieras en siete países de tres continentes diferentes: en América, Europa y África.
Ghimob tiene la capacidad de espiar a 153 aplicaciones (apps) para Android, distribuidas geográficamente de la siguiente manera: 112 apps de instituciones en Brasil, 13 apps de criptomonedas en diferentes países, 9 apps de sistemas de pagos internacionales; y en cuanto a aplicaciones bancarias, Ghimob puede monitorear a 5 apps de bancos de Alemania, 3 apps de bancos de Portugal, 2 apps de Perú, 2 apps de Paraguay, y una app tanto en Angola como en Mozambique.
Lo que hace Ghimob en los dispositivos de las víctimas
Kaspersky explicó que, una vez infectado el dispositivo móvil, Ghimob le da acceso remoto a los cibercriminales, lo que les permite manejar el dispositivo de la víctima, eludiendo las medidas de seguridad y sistemas anti-fraude de las instituciones financieras.
El malware impide que el usuario reinicie o apague su teléfono inteligente, y es capaz de grabar el patrón de bloqueo de pantalla para luego reproducirlo y desbloquear el móvil. Asimismo, al momento de realizar transacciones, el ciberatacante ” superpone una pantalla negra o abre un sitio web que ocupa toda la pantalla”, para ocultar la operación que realiza en segundo plano.
El equipo de Kaspersky afirma que Ghimob es una nueva creación de Guildma, “un actor de amenazas integrante de la familia de troyanos bancarios Tétrade“, la cual, a su vez, es un conjunto de cuatro grandes familias de troyanos bancarios creadas por delincuentes en Brasil, que fueron difundidas a nivel mundial.
Ghimob no está en Google Play
Resalta que los instaladores de Ghimob no se encuentran en la tienda Google Play, sino en dominios maliciosos registrados por los ciberatacantes de Guildma. De hecho, Kaspersky encontró este nuevo troyano monitoreando campañas de malware para Windows de Guildma.
Los investigadores de Kaspersky encontraron que desde un mismo URL malicioso se distribuían dos archivos maliciosos: un archivo .ZIP para Windows y un archivo APK; al hacer click en este último desde un navegador en Android, se descarga el archivo que instala Ghimob en dispositivos móviles.
Esta noticia de Kaspersky se une a la lista de reportajes de troyanos bancarios activos en América Latina, como el reciente reporte que dio ESET acerca de Emotet, que ha afectado principalmente a Argentina, Brasil y México, y el que compartió en julio pasado con respecto a Mekotio, el cual ha atacado mayormente en Chile y Brasil.
