Kaspersky ha detectado URLs procedentes del malware bancario Ghimob que distribuían no sólo un archivo .ZIP malicioso para Windows, sino también un fichero que parecía ser un descargador para instalarlo. 

Este troyano, atrae a las víctimas para que instalen el archivo malicioso a través de un correo electrónico que las engaña diciendo que tienen deudas y ofreciéndoles un enlace para informarse. Una vez que se instala, procede a enviar mensajes de notificación de la infección a su servidor, incluyendo el modelo movil, si este tiene activado el bloqueo de pantalla y una lista de todas las aplicaciones instaladas.

”El deseo de los ciberdelincuentes latinoamericanos de crear un troyano bancario móvil a escala mundial tiene una larga historia. Ghimob es el primer troyano de banca móvil brasileño listo para la expansión internacional. Creemos que esta campaña podría estar relacionada con Guildma, un troyano bancario brasileño muy conocido, por varias razones, pero principalmente porque comparten la misma infraestructura”, comenta Fabio Assolini, experto en seguridad de Kaspersky.

Ghimob, el nuevo malware bancario y cómo prevenirlo 

Ghimob puede espiar 153 apps móviles, principalmente de bancos, fintechs, apps de inversión y criptomonedas. En cuanto a sus funcionalidades: se convierte en un espía en el bolsillo de la víctima. Una vez realizada la infección, el ciberdelincuente puede acceder de forma remota al dispositivo infectado y completar el fraude usando el smartphone de su víctima.

Ghimob atrae a las víctimas para que instalen el archivo malicioso a través de un correo electrónico que las engaña diciendo que tienen deudas

Las estadísticas de Kaspersky muestran que, aparte de Brasil, los objetivos de Ghimob se encuentran en Paraguay, Perú, Portugal, Alemania, Angola y Mozambique. Los productos de Kaspersky detectan esta familia como Trojan-Banker.AndroidOS.Ghimob.

Para mantenerse a salvo de RAT y de las amenazas bancarias, Kaspersky recomienda tomar las siguientes medidas de seguridad:

  • Proporcione a su equipo SOC acceso a la última información sobre amenazas (TI). Kaspersky Threat Intelligence Portal proporciona al departamento de TI de la compañía acceso a datos de ciberataques y a los conocimientos reunidos por Kaspersky durante más de 20 años.
  • Eduque a sus clientes sobre los posibles trucos que los ciberdelincuentes pueden usar. Envíeles regularmente información sobre cómo identificar el fraude y comportarse en esta situación.
  • Implemente una solución antifraude, como Kaspersky Fraud Prevention. Puede proteger el canal móvil de las incidencias que se producen cuando los atacantes utilizan el control remoto para realizar una transacción fraudulenta. La solución puede detectar el malware RAT en el dispositivo e identificar signos de control remoto a través de un software legal.