Ghimob este es el nuevo ‘malware’ bancario que atrae a las víctimas para estafarlas

La compañía de ciberseguridad Kaspersky ha alertado sobre un nuevo ‘malware’ bancario llamado Ghimob que atrae a las víctimas para que instalen el archivo malicioso a través de un correo electrónico en el que afirma que tienen deudas.

El ‘malware’ bancario Ghimob es la última creación de Guildma, el actor de amenazas integrante de la familia de troyanos bancarios Tétrade, conocida por sus actividades maliciosas en América Latina y otras partes del mundo.

Ghimob atrae a las víctimas para que instalen un archivo malicioso a través de un correo electrónico en el que afirma que tiene deudas y ofrece un enlace en el que pueden obtener más información.

Una vez instalado el troyano de acceso remoto (RAT), el ‘malware’ envía una notificación de la infección a su servidor e incluye el modelo del dispositivo, una lista de las aplicaciones instaladas, así como si tiene activado el bloqueo de pantalla.

Aunque las víctimas tengan un patrón de bloqueo de pantalla, el ‘malware’ es capaz de grabarlo y reproducirlo después para desbloquear el dispositivo.

Este ‘malware’ bancario puede espiar hasta 153 aplicaciones móviles, de las cuales la mayoría son de bancos, fintechs, aplicaciones de inversión y criptomonedas.

Una vez realizada la infección, el ciberdelincuente es capaz de acceder al dispositivo de forma remota y completar el fraude empleando el teléfono de la víctima, eludiendo la identificación automática y las medidas de seguridad implementadas por las instituciones financieras.

Al realizar la transacción, el ciberdelincuente superpone una pantalla negra o una página web que ocupa toda la pantalla, para que la víctima no vea los movimientos realizados en segundo plano.

Ghimob se dirige principalmente a usuarios de Brasil, aunque también tiene objetivos en Paraguay, Perú, Portugal, Alemania, Angola y Mozambique, según estadísticas de Kaspersky.

Otro troyano que pone en riesgo la seguridad de datos

Además, la compañía de ciberseguridad Panda Security alertó sobre la creciente actividad de Jupyter, un ‘malware’ de tipo troyano que se actualiza de forma periódica para crear puertas traseras en los sistemas y cuyo objetivo es robar todas las contraseñas almacenadas en el llavero del dispositivo.

Jupyter, creado por cibercriminales de origen ruso, se encontraba ‘hibernando’ desde junio, pero en las últimas semanas ha infectado a “miles de dispositivos electrónicos en todo el mundo”, según aseguró Panda en un comunicado.

El ‘malware’, una vez instalado en un ordenador o un móvil accede a todos los usuarios y contraseñas que hay almacenados en los navegadores Chrome y Firefox en ese dispositivo. De este modo, es posible obtener acceso a la cuenta corriente, tarjetas de crédito, tiendas ‘online’ en las que haya hecho compras, correo electrónico y redes sociales de sus víctimas.

Este troyano se actualiza cada vez que los desarrolladores de antivirus avanzan en su detección. Es decir, cada vez que la industria legítima da pasos para detectar este ‘malware’, sus creadores lo actualizan para pasar desapercibidos.

Los creadores de Jupyter lanzaron la última actualización de su código en la segunda semana de noviembre. No obstante, ha habido otros periodos del año con más actividad de mantenimiento, cuando los ciberdelincuentes liberaron hasta nueve ‘parches’ para evitar sistemas de seguridad.

El mayor riesgo de esta nueva ciberamenaza es que, además de recopilar datos, su código está diseñado para dejar puertas traseras abiertas en los sistemas que infecta.

Esta amenaza se debe a que, además de robar las credenciales de acceso a las redes sociales, email o incluso tiendas online y banca digital, los cibercriminales pueden dejar el ordenador ‘esperándoles’ para que puedan acabar el robo directamente desde el ordenador de sus víctimas.

De esta manera, los atacantes pueden fácilmente acceder al ordenador de una víctima, recopilar toda la información que han robado y, de paso, instalar más ‘malware’ con el que minar criptomonedas o infectar del mismo virus otros dispositivos.