Авторы Guildma — зловреда, входящего в семейство банковских троянцев Tétrade, — постоянно осваивают новые приемы, расширяют арсенал вредоносного ПО и ищут новых жертв. Не так давно вышло в свет их новое творение — банковский троянец Ghimob, предназначенный для заражения мобильных устройств. Его мишенью стали приложения банков, бирж, обменников криптовалюты и организаций из отрасли финансовых технологий в Бразилии, Парагвае, Перу, Португалии, Германии, Анголе и Мозамбике.
Ghimob — полноценный RAT-троянец: после заражения устройства злоумышленник может получить доступ к нему удаленно, выполнить несанкционированную транзакцию со смартфона жертвы, обойдя все встроенные в устройство средства идентификации, меры безопасности, принимаемые финансовыми учреждениями, а также все используемые ими системы противодействия мошенничеству. Даже если пользователь использует графический ключ для блокирования экрана, Ghimob может записать его и позже воспроизвести, чтобы разблокировать устройство. Перед тем как совершить транзакцию, киберпреступник может показать в оверлее черный экран или открыть какой-нибудь сайт, чтобы отвлечь пользователя, пока транзакция выполняется в фоновом окне с помощью финансового приложения, которое пользователь запустил или в котором он авторизовался на своем смартфоне.
С технической точки зрения Ghimob интересен еще и тем, что он использует запасные командные серверы, защищенные Cloudflare, скрывает свой настоящий командный сервер с помощью DGA и использует несколько других трюков, заявляя о себе как о сильном конкуренте в своей сфере. Тем не менее, пока не обнаружено никаких признаков коммерческого использования данного зловреда по схеме MaaS (вредоносное ПО как услуга).По сравнению с BRATA или Basbanke, еще одним бразильским семейством мобильных банковских троянцев, Ghimob является намного более продвинутым, обладает расширенным набором функций и основательнее закрепляется на целевых устройствах.
Финансовая атака на несколько платформ
Отслеживая масштабную атаку Guildma на устройства под управлением Windows, мы обнаружили ссылки, используемые одновременно для распространения как ZIP-файлов для Windows, так и APK-файлов. Если при нажатии на вредоносную ссылку клиентское приложение (user agent) будет определено как браузер в системе Android, то по ссылке загрузится APK-файл инсталлятора Ghimob.
Распространяемые таким образом APK-пакеты маскируются под установщики популярных приложений; они не представлены в Google Play, а размещены на нескольких доменах, зарегистрированных операторами Guildma. После установки на телефон приложение использует специальные возможности с целью закрепиться на устройстве, отключить возможность ручного удаления и позволить банковскому троянцу перехватывать данные, манипулировать содержимым экрана и предоставлять мошенникам полный удаленный контроль — весьма типичный сценарий для мобильного RAT.
Одна ссылка, но разные файлы: ZIP для Windows, APK для Android
Наша телеметрия показывает, что все жертвы мобильного банковского троянца Ghimob в настоящее время находятся в Бразилии, но, как и остальные зловреды Tétrade, Ghimob имеет большие планы по экспансии за границу.
Чтобы заставить жертву установить вредоносный файл, электронное письмо отправляется от лица кредитной организации и содержит ссылку, по которой получатель может просмотреть дополнительную информацию, при этом само приложение выдает себя за Google Defender, Google Docs, WhatsApp Updater и пр.
Письмо со ссылкой на вредоносную программу, написанное на бразильском варианте португальского языка
Карманный RAT, от которого непросто избавиться
После запуска вредоносная программа пытается обнаружить распространенные эмуляторы и наличие отладчика, подключенного к процессу и файлу манифеста, а также проверяет, установлен ли флаг debuggable. Если какой-либо из этих признаков запуска в исследовательской среде присутствует, то зловред просто завершает работу. В более новых версиях Ghimob имена эмуляторов перенесены в зашифрованный файл конфигурации. Если эти проверки пройдены, пользователю демонстрируется окно специальных возможностей Android, выводимое по умолчанию, так как вредоносная программа в значительной степени полагается на эти возможности.
«Google Docs» запрашивает доступ к специальным возможностям
После заражения вредоносная программа уведомляет свой командный сервер об успехе. В уведомлении указывается модель телефона, активирована ли блокировка экрана, а также список всех установленных приложений, которые являются мишенью вредоносной программы, в том числе номера их версий. Ghimob шпионит за 153 мобильными программами — в основном это приложения банков, бирж и организаций, связанных с финансовыми технологиями и криптовалютами. Анализируя данное вредоносное ПО, можно увидеть все приложения, которые отслеживаются и находятся под прицелом RAT. В основном они связаны с бразильскими организациями (112 приложений), но поскольку Ghimob, как и другие представители Tétrade, стремится к расширению своей деятельности, зловред также следит за наличием в системе криптовалютных приложений из разных стран (13 приложений) и международных платежных систем (9 приложений). Также под прицелом находятся банки в Германии (5 приложений), Португалии (3 приложения), Перу (2 приложения), Парагвае (2 приложения), Анголе и Мозамбике (по одному приложению на страну).
Вредоносная программа также препятствует попыткам пользователя удалить ее, перезапустить устройство или выключить его. Вот что происходит, когда пользователь пытается удалить Ghimob вручную: видеозапись
Запасные командные сервера для удаленного управления
После завершения установки Ghimob пытается скрыть свое присутствие, не отображая значок в меню приложений. Вредоносная программа расшифровывает из конфигурационного файла список поставщиков адресов командных серверов и связывается с каждым из них для получения реального адреса командного сервера. Эта техника называется «запасные каналы» (fallback channels).
Найденные поставщики адресов командных серверов одинаковы для всех проанализированных нами образцов, но параметры каталога в запросе на получение реального адреса командного сервера отличаются для разных образцов, в результате чего по запросам возвращаются разные наборы адресов. Вся коммуникация осуществляется по протоколу HTTP/HTTPS.
Панель управления Ghimob со списком инфицированных жертв
Вместо того чтобы записывать экран пользователя с помощью MediaProjection API, как это делает BRATA, Ghimob посылает информацию, полученную из активного окна благодаря специальным возможностям, как видно ниже из ответа на команду 301, отправляемую командным сервером. Все команды, используемые этим RAT, описаны в закрытом отчете для клиентов на нашем портале информации об APT-угрозах.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 |
Client:[TARGETED APP] ID: xDROID_smg930a7.1.125_7206eee5b3775586310270_3.1 Data:Sep 24 2020 3:23:28 PM Ref:unknown SAMSUNG-SM-G930A 7.1.1 25 KeySec:trueKeyLock:falseDevSec:trueDevLock:false com.sysdroidxx.addons - v:3.1 Ativar Google Docs ======================================= Link Conexao:hxxp://www.realcc.com Senha de 8 digitos:12345678 Senha de 6 digitos:123456 ======================================= ============== LOG GERAL ============== ======================================= 22{< x >}[com.android.launcher3]--[TEXTO:null]--[ID:com.android.launcher3:id/apps_list_view]--[DESCRICAO:null]--[CLASSE:android.support.v7.widget.RecyclerView] 22{< x >}[com.android.launcher3]--[TEXTO:null]--[ID:com.android.launcher3:id/apps_list_view]--[DESCRICAO:null]--[CLASSE:android.support.v7.widget.RecyclerView] 22{< x >}[com.android.launcher3]--[TEXTO:null]--[ID:com.android.launcher3:id/apps_list_view]--[DESCRICAO:null]--[CLASSE:android.support.v7.widget.RecyclerView] 16{< x >}[targeted app]--[TEXTO:]--[ID:null]--[DESCRICAO:Senha de 8 digitos]--[CLASSE:android.widget.EditText] 0{< >}[targeted app]--[TEXTO:null]--[ID:null]--[DESCRICAO:null]--[CLASSE:android.widget.FrameLayout] 1{< >}[targeted app]--[TEXTO:null]--[ID:null]--[DESCRICAO:null]--[CLASSE:android.widget.LinearLayout] 2{< >}[targeted app]--[TEXTO:null]--[ID:android:id/content]--[DESCRICAO:null]--[CLASSE:android.widget.FrameLayout] 3{< >}[targeted app]--[TEXTO:null]--[ID:null]--[DESCRICAO:null]--[CLASSE:android.widget.FrameLayout] ======================================= ================ SALDOS =============== ======================================= [DESCRICAO: Rolando Lero Agencia: 111. Digito 6. Conta-corrente: 22222. Digito .7]-- [TEXTO:Account Rolando Lero] [DESCRICAO:Agencia: 111. Digito 6. Conta-corrente: 22222. Digito .7]--[TEXTO:111-6 22222-7] [DESCRICAO:Saldo disponivel R$ 7000,00]-- [DESCRICAO:7000,00]--[TEXTO:R$ 7000,00] [TEXTO:Saldo disponivel] [DESCRICAO:Agendado ate 04/Out R$ 6000,00 ]-- [DESCRICAO:6000,00 ]--[TEXTO:R$ 6000,00 ] [TEXTO:Agendado ate 04/Out] |
Вероятно, это связано с низкой скоростью интернета в Бразилии: периодическая отправка текстовой информации меньше загружает канал, чем трансляция содержимого экрана в режиме реального времени, что увеличивает шансы киберпреступника на успех. В то время как BRATA использует наложение поддельного окна WebView для кражи учетных данных, Ghimob это не требуется, так как он считывает поля непосредственно из целевого приложения с помощью специальных возможностей. Отслеживаются следующие слова на португальском языке: saldo (баланс), investimento (инвестиции), empréstimo (заем), extrato (выписка).
Выводы
Бразильским мошенникам потребовалось некоторое время, чтобы попробовать свои силы в создании мобильного банковского троянца с мировым охватом. Сначала мы познакомились с Basbanke, затем с BRATA, но оба этих зловреда были в основном сосредоточены на бразильском рынке. По сути, Ghimob является первым бразильским троянцем для мобильного банкинга, подготовленным к расширению географии целей и проведению атак на финансовые учреждения и их клиентов в других странах. По данным нашей телеметрии, у Ghimob уже есть подтвержденные жертвы в Бразилии, но, как мы видели, троянец хорошо подготовлен к краже учетных данных клиентов зарубежных банков, организаций из сферы финансовых технологий, бирж и обменников криптовалюты, а также данных кредитных карт финансовых учреждений, ведущих свою деятельность во многих странах, так что международная экспансия — лишь вопрос времени.
Мы считаем, что эта атака может быть связана с Guildma, известным бразильским банковским троянцем, по нескольким причинам, но в первую очередь потому, что они используют одну и ту же инфраструктуру. Также важно отметить, что протокол, используемый в мобильной версии, очень похож на протокол в версии для Windows.
Мы рекомендуем финансовым организациям пристально следить за этими зловредами, совершенствовать механизмы аутентификации, повышать уровень защиты от мошенничества и угроз, а также пытаться понять и минимизировать все риски, связанные с этим новым семейством мобильных RAT. Все подробности, индикаторы компрометации, информация из базы данных MITRE ATT&CK, правила Yara и хеши, относящиеся к этой угрозе, доступны для пользователей наших сервисов информирования об угрозах для финансовых организаций. Продукты «Лаборатории Касперского» определяют это семейство как Trojan-Banker.AndroidOS.Ghimob.
Индикаторы компрометации
Хеши файлов, связанных с данной угрозой:
17d405af61ecc5d68b1328ba8d220e24
2b2752bfe7b22db70eb0e8d9ca64b415
3031f0424549a127c80a9ef4b2773f65
321432b9429ddf4edcf9040cf7acd0d8
3a7b89868bcf07f785e782b8f59d22f9
3aa0cb27d4cbada2effb525f2ee0e61e
3e6c5e42c0e06e6eaa03d3d890651619
4a7e75a8196622b340bedcfeefb34fff
4b3743373a10dad3c14ef107f80487c0
4f2cebc432ec0c4cf2f7c63357ef5a16
Ghimob: создатели Tétrade нацелились на мобильные устройства