1. 极安网首页
  2. 网络安全技术

Ghimob银行木马分析

Guildma是Tétrade银行木马家族中的一员,它活动频繁并处于持续开发状态。最近,他们的新恶意软件Ghimob banking已经开始感染移动设备,其目标主要是巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克的银行、FinTech、交易所和加密货币等应用程序。

Ghimob感染完成后,黑客可以远程访问被感染设备,用受害者手机完成交易。如果用户设置了屏幕锁定,Ghimob可以录制屏幕并回放解锁。当攻击者进行交易时,木马会利用WebView覆盖主屏幕或全屏打开某个网站,在用户查看屏幕时,攻击者会在后台使用金融应用程序执行交易。

多平台金融攻击

在监视Guildma Windows恶意软件活动时,发现用于传播恶意软件的ZIP文件和APK文件的链接,所有文件下载链接都指向同一个URL。 如果点击恶意链接的用户使用的是Android的浏览器,则下载的是Ghimob APK。APK托管在Guildma注册的多个恶意域中, 安装完成后该应用程序将使用“辅助功能模式”来持久控制目标。

Ghimob银行木马分析-极安网

为了诱使受害者安装恶意文件,电子邮件中提供了查看详细信息的链接,收件人可以通过链接查看更多内容,应用程序本身则伪装为Google Defender,Google Docs,WhatsApp Updater等。恶意软件启动后会检查是否存在调试器, 如果存在则该自行终止。

Ghimob银行木马分析-极安网

感染完成后,恶意软件向服务器发送消息,内容包括手机型号,是否有屏幕锁和已安装的应用程序列表。 Ghimob会监视153种应用程序,这些应用程序主要来自银行,金融科技,加密货币和交易所。

远程控制

安装完成后Ghimob会隐藏应用程序图标,解密硬编码的C2列表,并访问所有C2来接收真实的C2地址。

在分析的样本中,C2提供程序都是相同的,但真实的C2在不同样本之间有所不同,所有的通信都是通过HTTP / HTTPS协议完成。

Ghimob银行木马分析-极安网

在Financial Threat Intel Portal报告中描述了RAT使用的所有命令。

Ghimob不会实时监控屏幕,而是读取目标应用程序中的文本信息进行有选择性的攻击。它会监视葡萄牙语中的以下单词:saldo(余额),investimento(投资),empréstimo(借出),extrato(声明)。

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/4395.html