وجد باحثو كاسبرسكي عند تتبعهم حملة تُشنّ باستخدام البرمجية المصرفية الخبيثة Guildma على الأجهزة العاملة بالنظام "ويندوز"، عناوين ويب توزع ملفًا خبيثًا بتهيئة ZIP بجانب ملف خبيث آخر يبدو أنه أداة تنزيل لتثبيت تروجان مصرفي جديد يُدعى Ghimob. ويرسّخ Ghimob نفسه عند التسلل إلى نمط قدرات الوصول في الهاتف الذكي المستهدف، حيث يستطيع تعطيل إلغاء التثبيت اليدوي، والتقاط البيانات، والتلاعب بمحتوى الشاشة، وتمكين الجهات التي تقف وراءه من التحكّم الكامل عن بُعد بالجهاز. ووفقًا للخبراء، يركّز مطورو هذا الطراز النموذجي من تروجان الوصول عن بُعد على مستخدمي الهواتف الذكية في البرازيل، لكن لديهم خططًا طموحة للتوسّع في جميع أنحاء العالم، مع تواصل نشاط الحملة.
ويُعدّ Guildma أحد التهديدات الرقمية التابعة لعصابة Tétrade سيئة السمعة، المعروفة بأنشطتها التخريبية القابلة للتوسع في كل من أمريكا اللاتينية وأجزاء أخرى من العالم، والتي تعمل بنشاط على تطوير تقنيات جديدة، وتطوير برمجيات خبيثة لاستهداف مزيد من الضحايا.
ويجذب التروجان Ghimob الجديد ضحاياه إلى تثبيت الملف الخبيث من خلال رسالة بريد إلكتروني تشير إلى أن مستلمها مطالب بسداد بعض الديون، وتتضمن رابطًا يقودهم إلى ما يُزعم أنه معلومات وافية عن تلك الديون. وترسل البرمجية الخبيثة، بمجرد تثبيت التروجان، رسالة إلى خادم القيادة والسيطرة الذي تتبع له لتؤكد نجاح إصابتها لجهاز الضحية المحمول المستهدف. وتتضمن الرسالة طراز الهاتف، وإفادة حول تفعيل وضعية تأمين الشاشة، وقائمة بجميع التطبيقات المثبتة التي يمكن أن تستهدفها البرمجية الخبيثة. ويمكن للتروجان Ghimob التجسس على 153 تطبيقًا محمولًا، لا سيما تطبيقات البنوك وشركات التقنيات المالية والعملات الرقمية والصرافة.
وتجعل وظائف Ghimob من هذا التروجان جاسوسًا قابعًا في جيب الضحية؛ إذ يمكن للمطورين الوصول عن بُعد إلى الجهاز المصاب وإكمال عمليات الاحتيال عبره مع تجنّب تحديد هوية الجهاز وتجاوز تدابير الأمن التي تنفذها المنشآت المالية والأنظمة السلوكية الخاصة بمكافحة الاحتيال، كما يستطيع Ghimob تسجيل نمط قفل شاشة الجهاز ليتمكّن من فتحها. فعندما يكون المحتالون مستعدين لإجراء معاملة احتيالية، يُدرجون شاشة تمويهية سوداء أو يفتحون بعض مواقع الويب بنمط الشاشة الكاملة. وبينما ينظر المستخدم إلى تلك الشاشة، ينفذ المحتالون المعاملة الاحتيالية في الخلفية بعد فتح التطبيق المالي المرغوب وتسجيل الدخول إليه على الجهاز.
وتُظهر إحصائيات كاسبرسكي وجود أهداف لتروجان Ghimob في كل من باراغواي وبيرو والبرتغال وألمانيا وأنغولا وموزمبيق، بالإضافة إلى البرازيل.
ولطالما تملّكت الرغبة مجرمي الإنترنت في أمريكا اللاتينية بالحصول على تروجان مصرفي ذي انتشار عالمي مخصص للهواتف الذكية، بحسب فابيو أسوليني الخبير الأمني لدى كاسبرسكي، الذي أشار إلى وجود تروجانات تركز بشدة على السوق البرازيلية، مثل Basbanke وBRata. وأكّد أن التروجان Ghimob "أول تروجان برازيلي يستهدف الخدمات المصرفية على الهاتف الذكية جاهز للتوسع عالميًا". وقال: "قد تكون هذه الحملة الجديدة مرتبطة بجهة التهديد Guildma، المسؤولة عن أحد أبرز التروجانات المصرفية البرازيلية، وذلك لأسباب عديدة أهمها الاشتراك بالبنية التحتية نفسها. وفي كل الأحوال، نوصي بأن تراقب المؤسسات المالية هذه التهديدات عن كثب، مع تحسين إجراءات المصادقة على الدخول، وتعزيز تقنيات مكافحة الاحتيال وبيانات معلومات التهديدات، ومحاولة إدراك جميع مخاطر التي تنطوي عليها عائلة تروجانات الوصول عن بعد المحمولة الجديدة هذه والتخفيف من حدّتها".
هذا، وبوسع حلول كاسبرسكي الأمنية الكشف عن العائلة الجديدة بالاسم Trojan-Banker.AndroidOS.Ghimob.
وتوصي كاسبرسكي باتخاذ الإجراءات الأمنية التالية للبقاء في مأمن من تروجانات الوصول عن بُعد، والتهديدات المصرفية:
يمكن الاطلاع على التقرير الكامل عن هذه التهديدات، على الصفحة Securelist.