I ricercatori di cybersicurezza di Kaspersky hanno scoperto un nuovo trojan bancario che colpisce principalmente smartphone Android: chiamato Ghimob, è in grado di spiare e rubare dati tramite le applicazioni in cui è installato - circa 153 - in un modo molto semplice e dunque relativamente facile da contrastare, ma comunque efficace.

Secondo il rapporto pubblicato pochi giorni fa dalla suddetta società di sicurezza, Ghimob è stato inserito in moltissime app che non sono presenti nel Google Play Store ma vengono diffusi su altri negozi di terze parti o tramite mail, siti web e server già utilizzati dal gruppo di hacker, noto anche per la precedente operazione Astaroth (Guildma), altro malware che in passato ha colpito moltissimi utenti.

Come operavano i malintenzionati? Utilizzando e-mail e siti dannosi, reindirizzavano gli utenti a siti Internet che promuovono software per Android con nomi apparentemente legittimi come Google Defender, Google Docs, WhatsApp Updater o Flash Update. Purtroppo, c’è chi ancora ci casca a questi tranelli ormai banali, rendendo l’attacco un successo: basta installare l’app nonostante gli avvisi del proprio dispositivo Android e questi, chiedendo l’accesso al servizio di accessibilità, infine infettano lo smartphone.

Una volta installato ecco che Ghimob si attiva cercando nel telefono centinaia di applicazioni in cui mostrerebbero pagine di login false nel tentativo di rubare le credenziali dell’utente, principalmente legate a servizi bancari. In Brasile il trojan è riuscito a rubare molte credenziali, secondo il report di Kaspersky, diventando il paese più colpito da Ghimob; non mancano però casi in Germania (cinque app bancarie infettate), Portogallo (tre app), Perù (due app), Paraguay (due app), Angola e Mozambico (un'app per paese). Come se non bastasse, Ghimob si è anche aggiornato per indirizzare le app di scambio di criptovaluta nel tentativo di ottenere l’accesso pure a queste credenziali.

Dopo ogni tentativo di phishing di successo, tutte le credenziali raccolte vengono inviate agli hacker garantendogli accesso agli account della vittima per avviare infine transazioni illegali. E le misure di sicurezza rafforzate aggiuntive? Ghimob riuscirebbe ad aggirarle proprio grazie al servizio di accessibilità, riuscendo così a rispondere a sondaggi e prompt mostrati sullo smartphone attaccato dal malware.

Come difendersi da Ghimob? È sufficiente prestare ancor più attenzione ai siti Internet in cui si naviga ed evitare di scaricare applicazioni da siti e store non ufficiali.

In passato sono stati scoperti anche altri due virus: HiddenAds, adware che mostra annunci pubblicitari invasivi installato in 21 app presenti nel Google Play Store, e il ransomware russo MalLocker.B che blocca l’accesso all’intero dispositivo attaccato mostrando soltanto una richiesta di riscatto nel display.