Kali ini ditemukan malware baru yang dijuluki Ghimob, trojan perbankan Android yang dapat memata-matai dan mencuri data dari 153 aplikasi Android.
Trojan tersebut diyakini telah dikembangkan oleh kelompok yang sama di belakang malware Windows Astaroth (Guildma), menurut sebuah laporan yang diterbitkan pada hari Senin (09/10/2020) oleh perusahaan keamanan Kaspersky.
Kaspersky mengatakan trojan Android baru ini dikemas di dalam aplikasi Android berbahaya di situs dan server yang sebelumnya digunakan oleh operasi Astaroth (Guildma). Namun, distribusi malware tidak pernah dilakukan melalui Play Store.
Dalam distribusinya, Ghimob menggunakan email atau situs berbahaya untuk mengarahkan pengguna ke situs web yang mempromosikan aplikasi Android.
Aplikasi ini meniru aplikasi dan merek resmi, dengan nama seperti Google Defender, Google Docs, WhatsApp Updater, atau Flash Update. Jika pengguna cukup ceroboh untuk menginstal aplikasi meskipun semua peringatan yang ditampilkan di perangkat mereka, aplikasi berbahaya akan meminta izin akses ke layanan Aksesibilitas sebagai langkah terakhir dalam proses infeksinya.
Jika izin diberikan, aplikasi akan mencari dalam ponsel yang terinfeksi untuk daftar 153 aplikasi yang akan menampilkan halaman login palsu dalam upaya untuk mencuri informasi sensitif pengguna.
Baca Juga: “Malware Android Baru BlackRock Bisa Mencuri Password dan Data Kartu Pembayaran“
Sebagian besar aplikasi yang ditargetkan adalah untuk bank Brasil, tetapi dalam versi yang baru-baru ini diperbarui, Kaspersky mengatakan Ghimob juga memperluas kemampuannya untuk mulai menargetkan bank di Jerman (lima aplikasi), Portugal (tiga aplikasi), Peru (dua aplikasi), Paraguay (dua aplikasi) ), Angola dan Mozambik (satu aplikasi per-negara).
Selain itu, Ghimob juga menambahkan pembaruan untuk menargetkan aplikasi pertukaran cryptocurrency dalam upaya untuk mendapatkan akses ke akun cryptocurrency, dengan Ghimob mengikuti tren umum dalam kancah malware Android yang perlahan bergeser untuk menargetkan pemilik cryptocurrency.
Setelah upaya phishing berhasil, semua informasi sensitif yang dikumpulkan dikirim ke operator Ghimob, yang kemudian akan mengakses akun korban dan memulai transaksi ilegal.
Jika akun dilindungi oleh langkah-langkah keamanan, Ghimob menggunakan kontrol penuhnya atas perangkat (melalui layanan Aksesibilitas) untuk menanggapi setiap pemeriksaan keamanan dan petunjuk yang ditampilkan pada ponsel yang diserang.
Kaspersky mencatat bahwa perkembangan Ghimob saat ini menggemakan tren global di pasar malware Brasil, seiring perlahan-lahan berkembang untuk menargetkan korban di negara-negara lainnya.
