A empresa de cibersegurança Kaspersky identificou um malware brasileiro que tem como alvo corretoras de valores e de criptomoedas e fintechs.
Além disso, o código malicioso identificado como Ghimob — uma variação do Guildma — está apto para realizar ataques fora do Brasil.
Assim, embora o trojan esteja em campanhas massivas no Brasil também pode promover ataques em toda a América Latina, Europa e África.
Como o malware atua
Conforme noticiou o portal IPNews nesta segunda-feira (9), para infectar aparelhos de celular, os cibercriminosos atuam em campanhas de phishing.
Ou seja, enviam e-mails para usuários afirmando que possuem uma dívida em aberto e indicam um link para mais informações.
Entretanto, assim que a pessoa acessa o link indicado, um trojan de acesso remoto conhecido como RAT é instalado.
Em seguida, o cibercriminoso é notificado que a infecção foi concluída com sucesso. Na sequência, passa a receber uma espécie de relatório que indica o modelo do telefone, se há algum tipo de bloqueio e uma lista com os aplicativos instalados para serem explorados.
Após, os criminosos acessam o aparelho remotamente e realizam transações fraudulentas, mesmo se o celular tiver bloqueado.
Isso porque o malware é capaz de gravar a senha ou o padrão de desbloqueio (desenho) e de reproduzi-lo.
Malware pode espionar 13 apps de criptomoedas
Ao todo, são mais de 110 aplicativos de instituições financeiras que podem ser espionados e violados pelo malware.
Só no que diz respeito à aplicativos de criptomoedas são 13 tipos diferentes de vários países e nove apps de sistemas internacionais de pagamento.
A Kaspersky observa ainda que o Ghimob é o primeiro malware para aplicativos móveis do Brasil pronto para atacar internacionalmente.
Segundo a empresa, essa internacionalização dos ataques maliciosos deve ocorrer em breve. Afinal, o malware usa a mesma infraestrutura do trojan para Windows Guildma que já tem um alcance global.
