Il malware Gigabud RAT, attivo su piattaforme Android, si sta rapidamente diffondendo un po' in tutto il mondo.
L'agente malevolo, infatti, sta mietendo vittime tra diversi utenti di paesi come Thailandia, Indonesia, Vietnam, Filippine e Perù, con la lista che, con tutta probabilità, è destinata ad allungarsi nel corso delle prossime settimane.
Secondo i ricercatori Pavel Naumov e Artem Grischenko di Group-IB "Una delle caratteristiche uniche di Gigabud RAT è che non esegue alcuna azione dannosa fino a quando l'utente non viene autorizzato nell'applicazione dannosa da un truffatore [...] il che rende più difficile il rilevamento". Gli stessi hanno poi aggiunto come "Invece di utilizzare attacchi overlay HTML, Gigabud RAT raccoglie informazioni sensibili principalmente attraverso la registrazione dello schermo".
Questo temibile trojan è stato documentato per la prima volta da Cyble nel corso dello scorso gennaio, dopo che è stato individuato mentre impersonava app bancarie e governative per sottrarre dati sensibili alle vittime.
Gigabud RAT e Gigabud.Loan: due minacce insidiose
A rendere ancora più temibile tale malware vi è anche una seconda versione nota come Gigabud.Loan. Questa agisce sotto le sembianze di una presunta app legata al contesto di prestiti e finanziamenti. Nonostante presenti meno funzionalità legate al contesto RAT, si tratta di un agente malevolo molto capace quando si tratta di esfiltrare i dati input dell'utente.
A proposito di Gigabud.Loan, i ricercatori hanno affermato che "Gli obiettivi sono utenti indotti a compilare un modulo di richiesta con la carta di credito per ottenere un prestito a basso interesse".
Entrambe le versioni del malware vengono diffuse tramite siti Web di phishing, i cui link vengono forniti alle vittime tramite SMS o messaggi sui social network. Gigabud.Loan viene anche distribuito direttamente sotto forma di file APK, spesso inviato direttamente tramite messaggi su WhatsApp.
Gigabud funziona in modo molto simile ad altri trojan bancari Android, ovvero richiedendo le autorizzazioni dei servizi di accessibilità per eseguire l'acquisizione dello schermo e la registrazione delle sequenze di tasti. È inoltre in grado di sostituire i numeri delle carte bancarie negli appunti ed eseguire trasferimenti di fondi automatizzati tramite accesso remoto.