Los ataques cibernéticos hacia instituciones bancarias siguen en aumento. Recientemente, investigadores de la empresa de seguridad Kaspersky identificaron una nueva amenaza para el sector financiero al monitorear una campaña sobre Guildma, un malware bancario.

Durante el monitoreo, encontraron URLs que contenían archivos maliciosos, entre ellos un artefacto dirigido a dispositivos Android que descarga e instala un nuevo troyano llamado Ghimob. Esta amenaza forma parte de la familia Tétrade, desarrollada por un grupo de ciber delincuentes brasileños cuyo objetivo es desarrollar malware con alcance internacional y que actualmente afecta a países como Paraguay, Perú, Portugal, Alemania, Angola y Mozambique.

El medio de distribución es el envío de un correo electrónico en el que se informa a la víctima que tiene algún tipo de deuda pendiente, y solicitando que dé clic en un enlace para solicitar más información. Una vez instalado, el troyano envía un mensaje a un servidor remoto con información como el modelo del teléfono, si cuenta con patrón de desbloqueo, y una lista de las aplicaciones instaladas y que pueden ser vulneradas (puede espiar 153 aplicaciones, principalmente de bancos, criptomonedas e intercambios financieros). También tiene la capacidad de grabar el patrón de desbloqueo para después reproducirlo y desbloquear el dispositivo automáticamente, y de utilizar técnicas de superposición de pantalla abriendo sitios web en modo de pantalla completa. Así, mientras el usuario observa estos sitios web, los ciberdelincuentes aprovechan para realizar transacciones en segundo plano.

Como parte de las medidas de seguridad se emiten las siguientes recomendaciones:

Referencias:
https://www.kaspersky.com/about/press-releases/2020_ghimob-new-banking-malware-from-tetrade-threat-actor-targets-mobile-users-worldwide
https://www.milenio.com/tecnologia/ghimob-virus-bancario-comete-fraudes-telefono
https://www.redeszone.net/noticias/seguridad/ghimob-troyano-bancario-riesgo-smartphone-android/