Análisis de malware

Ghimob Trojan Banker: qué es, cómo funciona y cómo prevenirlo | Destacado malware

3 de marzo de por Pedro Tavares

Introducción

Malware es un término popular utilizado para clasificar el software con malas intenciones que forma parte de nuestras vidas hoy en día. Ghimob Trojan Banker es uno de los malwares más recientes que existen. Fue descubierto y publicado por Kaspersky el 9 de noviembre de.

En este artículo, analizaremos cómo se propaga este malware; las técnicas, tácticas y procedimientos utilizados por los delincuentes; y algunos detalles profundos sobre cómo puede extraer datos confidenciales de los dispositivos de las víctimas. Hacia el final del informe también se proporcionarán medidas de prevención para mitigar el malware móvil en general.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Introducción

Ghimob es un malware troyano que se dirige a dispositivos móviles en todo el mundo. Kaspersky descubrió este software malicioso. Según su informe de análisis, Ghimob puede robar datos de un total de 153 aplicaciones de Android, incluidos bancos, fintechs, criptomonedas e intercambios.

“Al monitorear las campañas de Windows desde el malware bancario Guildma, los investigadores notaron que algunas URL encontradas distribuían no solo un archivo ZIP malicioso para Windows sino también un archivo malicioso que parecía haber sido descargado para instalar Ghimob”, dijo Kaspersky.

El troyano puede infectar a una gran variedad de víctimas de diferentes países, incluidos Brasil, Paraguay, Perú, Portugal, Alemania, Angola y Mozambique.

1: Detecciones de Ghimob: Brasil por ahora, pero listo para expandirse en el exterior ( fuente ).

Difusión de amenazas

Ghimob se difunde a través de campañas de phishing, en las que la aplicación maliciosa se hace pasar por un instalador de aplicaciones populares, incluidas Adobe Reader y GoogleDocs. No está disponible en la tienda Google Play; En cambio, la aplicación se distribuye desde fuentes no confiables. Los dominios registrados por delincuentes propagan la amenaza en la naturaleza. El correo electrónico enviado atrae a la víctima con algún tipo de deuda y también incluye un enlace donde se puede encontrar más información.

2: Plantilla de phishing (en portugués) y muestras utilizadas durante este análisis.

Profundizando en los detalles

Después de descargar el APK, envía un mensaje sobre la infección exitosa al servidor de comando y control (CC). El mensaje incluye el modelo de teléfono, si tiene seguridad de pantalla de bloqueo y una lista de todas las aplicaciones instaladas a las que puede atacar el malware.

Persistencia troyana

Una vez instalado en el dispositivo de la víctima, Ghimob intenta detectar emuladores comunes y comprueba la presencia de un depurador adjunto al proceso y al archivo de manifiesto, así como un indicador depurable.

3: Validaciones antidepuración y VM encontradas durante el análisis de las muestras.

Después de esto, el malware abusa del Modo de Accesibilidad para ganar persistencia, desactivar la desinstalación y permitir capturar datos, incluida la manipulación del contenido de la pantalla (superposición de Windows), proporcionando control remoto total, una actividad muy típica que también se observa en los troyanos de escritorio de Windows, como como el troyano URSA .

Además, el malware también impide que el usuario lo desinstale, reinicie o apague el dispositivo como mecanismo de persistencia.

Capa de ofuscación y aplicaciones de destino

Al analizar la actividad del malware durante el proceso de infección, es posible ver todas las aplicaciones legítimas monitoreadas y atacadas. Según el informe de Kaspersky: “se trata principalmente de instituciones en Brasil (donde vigila 112 aplicaciones), pero como Ghimob, al igual que otros actores de amenazas de Tétrade, ha estado avanzando hacia la expansión de sus operaciones, también vigila el sistema en busca de aplicaciones de criptomonedas de diferentes países. (trece aplicaciones) y sistemas de pago internacionales (nueve aplicaciones). También se apuntan a bancos en Alemania (cinco aplicaciones), Portugal (tres aplicaciones), Perú (dos aplicaciones), Paraguay (dos aplicaciones), Angola y Mozambique (una aplicación por país)”.

Como se muestra a continuación, el malware utiliza una capa de ofuscación para dificultar el análisis estático. En detalle, las cadenas se cifran con funciones estáticas codificadas dentro del APK y finalmente se almacenan y codifican en Base64.

4: Cadenas y plantillas ofuscadas.

Comunicación CC y control total del dispositivo de la víctima.

Durante la operación del malware, intenta ocultar su presencia ocultando el icono del cajón de aplicaciones. Después de eso, el malware descifra una lista de proveedores de direcciones CC codificadas del archivo de configuración y se comunica con cada uno de ellos para recibir la dirección IP real, una técnica conocida como canales de respaldo .

5: Ejemplo de funciones codificadas utilizadas por el malware para descifrar el contenido ofuscado.

Toda la comunicación se realiza a través del protocolo HTTP/HTTPS con el servidor CC. La 6 muestra el back office remoto utilizado por los delincuentes para acceder a los detalles de la víctima extraídos durante la infección de malware.

6: Panel de control utilizado por Ghimob para enumerar las víctimas infectadas ( fuente ).

Ghimob no graba la pantalla utilizada a través de Media Projection API como otros malwares de esta naturaleza. Este troyano envía información relacionada con la accesibilidad desde la ventana activa actual, como se muestra a continuación en el resultado del comando “301” devuelto por el C2.

7: Información exfiltrada por Ghimob y enviada al servidor CC.

Con este tipo de técnica, los delincuentes pueden enviar mucha información de vez en cuando, consumiendo menos ancho de banda que enviar una grabación de pantalla en tiempo real.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Pensamientos finales

Los delincuentes continúan mejorando su código de malware para eludir los mecanismos de detección y atacar al máximo número de víctimas posibles en todo el mundo. Desde este punto de vista, la educación de los usuarios contra este tipo de amenazas debería verse como la mejor manera de prevenir infecciones de malware y mantener a los usuarios alerta.

Algunas medidas para reducir el riesgo de este tipo de malwares incluyen:

Por ejemplo, cuando el APK malicioso de Ghimob se instala en el dispositivo de destino, la aplicación solicita algunos permisos:

De esta forma, siempre debes analizar si la aplicación necesita acceder a los módulos solicitados y validar si la aplicación a la que estás accediendo es la oficial de tu banco y la misma disponible en la tienda Google Play.

Fuentes

Análisis de Ghimob , Kaspersky

Noticias de Ghimob , ThreatPost