{"id":25678,"date":"2020-11-09T16:22:44","date_gmt":"2020-11-09T14:22:44","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=25678"},"modified":"2020-11-09T16:22:44","modified_gmt":"2020-11-09T14:22:44","slug":"banking-trojaner-ghimob-attackiert-mobile-nutzer-in-deutschland","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/banking-trojaner-ghimob-attackiert-mobile-nutzer-in-deutschland\/25678\/","title":{"rendered":"Banking-Trojaner Ghimob attackiert mobile Nutzer in Deutschland"},"content":{"rendered":"

Kaspersky-Forscher haben einen neuen Banking-Trojaner<\/a> gefunden, der Nutzer in Deutschland, aber auch weltweit attackiert. Der Remote Access Trojaner (RAT) ,Ghimob\u2018 wurde im Zuge der \u00dcberwachung einer gegen Windows gerichteten, malizi\u00f6sen Kampagne durch die Banking-Malware Guildma<\/a> entdeckt. Dabei haben die Kaspersky-Forscher URLs, die nicht nur eine sch\u00e4dliche .ZIP-Datei f\u00fcr Windows verbreiteten, sondern auch einen Downloader f\u00fcr Ghimob entdeckt. Nach dem Infiltrieren des Bedienungshilfe-Modus<\/a> kann Ghimob Persistenz erlangen und eine manuelle Deinstallation deaktivieren, Daten erfassen, Bildschirminhalte manipulieren und den Cyberkriminellen die vollst\u00e4ndige Remote-Steuerung erm\u00f6glichen.<\/p>\n

Guildma, einer der Bedrohungsakteure hinter der ber\u00fcchtigten T\u00e9trade-Malwarefamilie \u2013 f\u00fcr seine skalierbaren, sch\u00e4dlichen Aktivit\u00e4ten sowohl in Lateinamerika als auch in anderen Teilen der Welt bekannt \u2013 arbeitet aktiv an neuen Techniken, entwickelt Malware und hat neue Opfer im Visier.<\/p>\n

Der neue Banking-Trojaner Ghimob versucht die Opfer dazu zu verlocken, die sch\u00e4dliche Datei \u00fcber eine E-Mail zu installieren, die darauf hinweist, dass man Schulden h\u00e4tte. Die Mail enth\u00e4lt dabei einen Link, der zu vermeintlich weiteren Informationen f\u00fchrt. Sobald der Remote Access Trojaner (RAT) installiert ist, sendet die Malware eine Nachricht \u00fcber die erfolgreiche Infektion an den Server. Diese enth\u00e4lt Informationen zum Telefonmodell, die Angabe, ob es \u00fcber eine Bildschirmsperre verf\u00fcgt, und eine Liste aller installierten Anwendungen, die die Malware attackieren kann. Ghimob kann 153 unterschiedliche Apps ausspionieren \u2013 es handelt sich dabei \u00fcberwiegend um Anwendungen von Banken, Fintech-Unternehmen, Kryptow\u00e4hrungen und B\u00f6rsen. F\u00fcnf dieser Apps stammen von Banken in Deutschland.<\/p>\n

Der von #Kaspersky gefundene Banking-Trojaner kann 5 Apps deutscher Banken ausspionieren.<\/p>Tweet<\/a><\/blockquote>\n

Funktional gesehen ist Ghimob ein Spion, den sein Opfer st\u00e4ndig mit sich herumtr\u00e4gt. Die Cyberkriminellen k\u00f6nnen per Fernzugriff auf das infizierte Ger\u00e4t zugreifen und betr\u00fcgerische Aktivit\u00e4ten ausf\u00fchren. Durch die Verwendung des Smartphones des Opfers k\u00f6nnen sie vermeiden, dass Finanzinstitute und deren Anti-Fraud-Systeme sie erkennen identifizieren und daraufhin Sicherheitsma\u00dfnahmen ergreifen. Selbst wenn der Nutzer ein Sperrbildschirmmuster verwendet, ist Ghimob in der Lage, dieses aufzunehmen und abzuspielen, um das Ger\u00e4t zu entsperren.<\/p>\n

Bei der Durchf\u00fchrung einer betr\u00fcgerischen Transaktion k\u00f6nnen die Angreifer ein schwarzes Bildschirm-Overlay anzeigen oder einige Webseiten im Vollbildmodus \u00f6ffnen. Der Betrugsprozess wird, w\u00e4hrend der Nutzer auf seinen Bildschirm blickt, im Hintergrund ausgef\u00fchrt. Hierbei werden bereits ge\u00f6ffnete oder in angemeldeten Finanz-Apps genutzt, die auf dem Ger\u00e4t installiert sind.<\/p>\n

\"\"<\/p>\n

Die Ziele von Ghimob befinden sich in Brasilien, Paraguay, Peru, Portugal, Deutschland, Angola und Mosambik.<\/p>\n

\u201eDer Wunsch lateinamerikanischer Cyberkrimineller nach einem mobilen Banking-Trojaner mit weltweiter Reichweite hat eine lange Geschichte\u201c, kommentiert Fabio Assolini, Sicherheitsexperte bei Kaspersky. \u201eWir haben bereits Basbanke und BRata\u00a0 identifiziert, die jedoch beide stark auf den brasilianischen Markt ausgerichtet waren. Tats\u00e4chlich ist Ghimob der erste brasilianische Mobile-Banking-Trojaner, der f\u00fcr die internationale Expansion bereit ist. Wir denken, dass diese neue Kampagne mit dem Guildma-Bedrohungsakteur in Verbindung gebracht werden kann, der f\u00fcr einen bekannten brasilianischen Banking-Trojaner verantwortlich ist. Indiz hierf\u00fcr ist unter anderem insbesondere die Nutzung derselben Infrastruktur. Wir empfehlen Finanzinstituten, diese Bedrohungen genau zu beobachten und gleichzeitig ihre Authentifizierungsverfahren zu optimieren, die Qualit\u00e4t ihrer Betrugsbek\u00e4mpfungstechnologie und den Einblick in aktuelle Bedrohungsdaten zu verbessern sowie zu versuchen, alle Risiken dieser neuen mobilen RAT-Familie zu verstehen und zu minimieren.\u201c<\/p>\n

Kaspersky-Produkte erkennen die neue Malware als Trojan-Banker.AndroidOS.Ghimob<\/strong>.<\/p>\n

Alle Details und IoCs, die mit dieser Bedrohung in Verbindung stehen, werden den Nutzern der Financial-Threat-Intelligence-Dienste von Kaspersky zur Verf\u00fcgung gestellt.<\/p>\n

Kaspersky-Tipps zum Schutz vor RAT- und Banking-Bedrohungen<\/h3>\n