{"id":16358,"date":"2020-11-09T19:50:42","date_gmt":"2020-11-09T22:50:42","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=16358"},"modified":"2020-11-27T13:32:55","modified_gmt":"2020-11-27T16:32:55","slug":"ghimob-ataca-apps-financeiros","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ghimob-ataca-apps-financeiros\/16358\/","title":{"rendered":"Ghimob ataca apps financeiros e est\u00e1 pronto para internacionaliza\u00e7\u00e3o"},"content":{"rendered":"<p class=\"x_MsoNormal\">Ap\u00f3s uma an\u00e1lise mais profunda da\u00a0<span lang=\"EN-GB\"><a href=\"https:\/\/www.kaspersky.com.br\/blog\/cibercrime-brasileiro-exporta-malware-bancario-klsec\/16108\/\" target=\"_blank\" rel=\"noopener noreferrer\"><span lang=\"PT-BR\">vers\u00e3o m\u00f3vel do Guildma<\/span><\/a><\/span> anunciado no final de setembro, descobrimos caracter\u00edsticas \u00fanicas da ciberamea\u00e7a e decidiu trat\u00e1-la como uma nova fam\u00edlia: o Ghimob. Entre as principais descobertas est\u00e1 a confirma\u00e7\u00e3o que o trojan est\u00e1 preparado para atuar fora do Brasil e os alvos s\u00e3o bancos, fintechs, corretoras (de valores) e corretoras de criptomoedas, localizadas na Am\u00e9rica Latina, Europa e \u00c1frica. No Brasil, h\u00e1 campanhas massivas.<\/p>\n<p class=\"x_MsoNormal\">Para realizar a infec\u00e7\u00e3o do celular, os criminosos enviam campanhas massivas de <a href=\"https:\/\/www.kaspersky.com.br\/blog\/phishing-prevalence-effect\/13773\/\" target=\"_blank\" rel=\"noopener\">phishing<\/a> dizendo que a pessoa tem uma d\u00edvida, com um link para que a v\u00edtima tenha detalhes. Assim que o RAT (tipo de trojan que usa acesso remoto) \u00e9 instalado, envia uma mensagem ao criminoso avisando que a infec\u00e7\u00e3o foi bem-sucedida com o modelo do telefone, se h\u00e1 tela de bloqueio de seguran\u00e7a e uma lista dos aplicativos instalados que o malware pode atacar.<\/p>\n<h2>Foco em apps financeiros<\/h2>\n<p class=\"x_MsoNormal\">O que chama aten\u00e7\u00e3o \u00e9 a extensa lista de aplica\u00e7\u00f5es que o Ghimob pode espionar. S\u00e3o mais de 110 apps de institui\u00e7\u00f5es banc\u00e1rias no Brasil. Al\u00e9m disso, o trojan ainda tem como alvo aplicativos de criptomoeda de diferentes pa\u00edses (13 apps), sistemas internacionais de pagamento (9 apps) e mobile banking de institui\u00e7\u00f5es que operam na Alemanha (5 aplicativos), Portugal (3 aplicativos), Peru (2 aplicativos), Paraguai (2 aplicativos), Angola e Mo\u00e7ambique (1 aplicativo de cada pa\u00eds).<\/p>\n<p class=\"x_MsoNormal\">Quanto ao funcionamento, os criminosos usam o Ghimob para acessar remotamente o dispositivo infectado e realizar transa\u00e7\u00f5es usando o smartphone da v\u00edtima \u2013 isto evita a detec\u00e7\u00e3o da fraude por tecnologias de fingerprint e antifraude (detec\u00e7\u00e3o por comportamento) que as institui\u00e7\u00f5es financeiras utilizam. Outra caracter\u00edstica interessante \u00e9 que o trojan consegue destravar o celular, mesmo que use um padr\u00e3o (desenho) de bloqueio, ou senha, pois o trojan consegue grav\u00e1-la e reproduzi-lo.<\/p>\n<p class=\"x_MsoNormal\">Para realizar as transa\u00e7\u00f5es fraudulentas, os criminosos colocam uma tela em branco,\u00a0tela\u00a0preta ou um site com tela cheia para esconder sua atividade.\u00a0\u201cA tela preta ainda \u00e9 usada para for\u00e7ar a v\u00edtima a usar a biometria para \u2018destravar\u2019 a tela\u00a0e, assim, roubar esta forma de autentica\u00e7\u00e3o\u201d,\u00a0ressalta\u00a0Fabio Assolini, especialista de seguran\u00e7a da Kaspersky no Brasil.<\/p>\n<p class=\"x_MsoNormal\">\u201cUm trojan com alcance global para realizar fraudes no mobile banking era um desejo de longa data dos cibercriminosos latino-americanos. J\u00e1 tivemos o\u00a0<span lang=\"EN-GB\"><a href=\"https:\/\/securelist.com\/basbanke-trend-setting-brazilian-banking-trojan\/90365\/\" target=\"_blank\" rel=\"noopener noreferrer\"><span lang=\"PT-BR\">Basbanke<\/span><\/a><\/span>\u00a0e o\u00a0<span lang=\"EN-GB\"><a href=\"https:\/\/securelist.com\/spying-android-rat-from-brazil-brata\/92775\/\" target=\"_blank\" rel=\"noopener noreferrer\"><span lang=\"PT-BR\">BRata<\/span><\/a><\/span>, mas estes atuam mais focados no mercado brasileiro. Por isso, o Ghimob \u00e9 o primeiro trojan para mobile banking brasileiro pronto para ser internacionalizado e acreditamos que isso n\u00e3o v\u00e1 demorar, uma vez que ele compartilha a mesma infraestrutura do Guildma, trojan para Windows que j\u00e1 atua fora do pa\u00eds\u201d, comenta. \u201cRecomendamos que as institui\u00e7\u00f5es financeiras acompanhem essas amea\u00e7as de perto para aprimorar seus processos de autentica\u00e7\u00e3o e tecnologias antifraudes com dados de intelig\u00eancia de amea\u00e7as. Compreender sua a\u00e7\u00e3o \u00e9 a forma mais eficaz de mitigar os riscos desta nova fam\u00edlia de RAT m\u00f3vel\u201d,\u00a0destaca o especialista da Kaspersky.<i><\/i><\/p>\n<p class=\"x_MsoNormal\">Nossas <a href=\"https:\/\/www.kaspersky.com.br\/plus?icid=br_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kplus___\" target=\"_blank\" rel=\"noopener\">solu\u00e7\u00f5es<\/a> j\u00e1 detectam e bloqueiam esta amea\u00e7a como Trojan-Banker.AndroidOS.Ghimob.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-banking\">\n","protected":false},"excerpt":{"rendered":"<p>Trojan banc\u00e1rio monitora mais de 150 apps m\u00f3veis de\u00a0bancos, fintechs, corretoras e apps de criptomoedas na Am\u00e9rica Latina, Europa e \u00c1frica. Brasil \u00e9 o principal alvo.<\/p>\n","protected":false},"author":61,"featured_media":15623,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[218,830,91,92],"class_list":{"0":"post-16358","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-ameacas","10":"tag-tips","11":"tag-internet-banking","12":"tag-trojan"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ghimob-ataca-apps-financeiros\/16358\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ameacas\/","name":"amea\u00e7as"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/16358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/61"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=16358"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/16358\/revisions"}],"predecessor-version":[{"id":16603,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/16358\/revisions\/16603"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/15623"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=16358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=16358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=16358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}