Trovate 153 App con Ghimob, un malware che svuota il conto in banca

Un nuovo malware molto pericoloso sta circolando da qualche settimana: si chiama Ghimob, è un trojan bancario e può svuotare il conto in banca del malcapitato possessore di uno smartphone che è stato infettato. Ghimob è stato scovato dai ricercatori di Kaspersky in ben 153 app Android pericolose che, come anche il recente virus Cobalt Strike trovato negli aggiornamenti fake di Microsoft Teams, non vengono diffuse tramite i consueti store ufficiali.

Questo nuovo virus è uno stretto parente di Alien, altro nome assai noto tra i ricercatori di sicurezza informatica a causa dei danni che può fare. Come Alien anche Ghimob trasforma lo smartphone infettato in un vero e proprio strumento di spionaggio continuo, grazie al quale gli hacker possono anche entrare in possesso dei dati di login alle app e ai siti delle banche. Con l’ovvia conseguenza che i conti correnti sono gravemente a rischio. Ghimob è, tra l’altro, così sofisticato che riesce a sbloccare da solo lo schermo del cellulare e questo vuol dire che può operare anche nei momenti in cui meno ce lo aspetteremo, senza che noi possiamo accorgerci di nulla.

Come funziona Ghimob e perché è pericoloso

Ghimob è uno strumento di spionaggio completo, efficiente ed efficace: una volta completata l’infezione, l’hacker che lo controlla può accedere da remoto al dispositivo infetto, portando facilmente a termine transazioni bancarie fraudolente con lo smartphone della vittima. Lo fa imitando alla perfezione ciò che farebbe un utente della banca accedendo realmente al suo conto.

In questo modo Ghimob scavalca le misure di sicurezza messe in campo dagli istituti finanziari, che sono ormai in grado di intercettare movimenti sospetti che seguono pattern standard. Anche se l’utente ha impostato una sequenza di blocco dello schermo, poi, Ghimob è in grado di registrarla e successivamente riprodurla per sbloccare il dispositivo.

Quando il cybercriminale è pronto per eseguire la transazione, può mostrare una schermata nera che copre completamente lo schermo: in questo modo anche se l’utente sta usando il cellulare in quel momento non vedrà che Ghimob sta accedendo al conto in banca per svuotarlo, tramite il sito o l’app della banca.

Un trucchetto diabolico, che rende questo trojan bancario estremamente pericoloso, che viene messo in atto anche quando il malware scopre che l’utente ha un portafoglio di criptovalute come i bitcoin o gli ethereum.

Quali app infette da Ghimob vanno cancellate subito

Kaspersky ha trovato 153 app infette che contengono Ghimob. Nessuna di esse è stata pubblicata sul Play Store ufficiale di Google, ma quasi tutte imitano nel nome e nelle funzionalità app ufficiali e famose.

Si tratta di app con nomi come “Google Defender“, “Google Docs“, “WhatsApp Updater” e simili, che vengono veicolate tramite appositi siti Web. Durante l’installazione chiedono all’utente moltissimi permessi di accesso all’hardware per funzionare e, se l’utente glieli concede, firma la sua condanna.

Come difendersi da Ghimob

L’infezione da Ghimob parte non appena l’utente scarica una delle 153 app usate per veicolarlo. Solitamente l’utente viene invitato a scaricare una di queste app tramite una email di phishing o un link pubblicato su forum e social.

L’unico modo per difendersi da Ghimob, quindi, è non cadere nella trappola e non scaricare alcuna applicazione da siti o store non ufficiali. Come ormai ben sappiamo, purtroppo, neanche Google riesce a bloccare il 100% delle app infette sul suo Play Store (e, a dirla tutta, ultimamente si trovano app pericolose anche sull’App Store di Apple) ma, quanto meno, il negozio di app di Big G viene regolarmente controllato e “ripulito” dalle app pericolose. Cosa che, invece, non succede su altre piattaforme.