به گزارش
گرداب، طبق جدیدترین گزارش کسپرسکی، به نظر میرسد این بدافزار اندرویدی توسط گروهی که بدافزار «Astaroth» یا «Guildma» را توسعه داده، به تولید رسیده است. به گفته این شرکت امنیت سایبری، این تروجان جدید اندرویدی به وسیله اپهای مخرب روی دستگاهها نصب میشود و درون سایتها و سرورهایی قرار گرفته که در گذشته برای عملیات Astaroth مورد استفاده بوده است.
توزیع این برنامهها توسط فروشگاه رسمی پلی استور صورت نگرفته و بجای این کار، گروه Ghimob از ایمیلها یا سایتهای مخرب برای هدایت کاربران به سایتهایی که این اپهای اندرویدی را تبلیغ میکردند، هدایت کرده است.
این اپها از برنامههای رسمی و برندها تقلید میکنند که در میان آنها نامهایی مانند گوگل دیفندر، گوگل داکس یا بروزرسانی فلش به چشم میخورد. اگر کاربری بدون توجه به تمام هشدارهای دستگاه خود تصمیم به نصب این برنامهها بگیرد، این اپها به عنوان آخرین مرحله آلودگی دستگاه، درخواست دسترسی به سرویس «دسترسیپذیری» را ارائه میکنند.
اگر چنین اجازهای به آنها داده شود، این اپها گوشی کاربر را برای یک لیست حاوی ۱۵۳ برنامه مورد جستجو قرار میدهند. این بدافزار در این اپلیکیشنها صفحه ورود جعلی را به نمایش میگذارد تا مدارک کاربران را سرقت کند.
اکثر برنامههای هدف مربوط به بانکهای برزیلی میشوند، اما در نسخههای بروز شده شاهد افزایش تواناییهای آن و هدف قرار دادن بانکها در آلمان، پرتغال، پرو، پاراگوئه، آنگولا و موزامبیک هستیم. بدافزار Ghimbo در بروزرسانی جدید خود اپهای صرافیهای ارز دیجیتال را نیز هدف قرار میدهد تا بتواند به حسابهای کاربران دسترسی پیدا کند.
پس از یک حمله موفق، اطلاعات و اعتبارنامههای کاربران برای گروه Ghimob ارسال میشود تا اعضای آن بتوانند به صورت کامل روی دستگاه کنترل داشته باشند و نسبت به هرگونه مشکل امنیتی واکنش نشان دهند. ویژگیهای این بدافزار منحصر به فرد نیستند و برخی از آنها را در گذشته در تروجانهای «BlackRock» و «Alien» مشاهده کردهایم.