Gigabud to nowe oprogramowanie typu malware, które zostało dostrzeżone w Azji. Nie jest jednak wykluczone, że rozprzestrzeni się ono na cały świat. Aby uniknąć zainfekowania wirusem, należy unikać reagowania na podejrzane wiadomości.
Specjaliści z Group-IB opublikowali raport, w którym ostrzegają przed nowym wirusem. Chodzi o Gigabud, czyli oprogramowanie typu Malware. Jak czytamy w serwisie infosecurity-magazine.com, jest to wirus określany mianem Remote Access Trojan (RAT), stworzony z myślą o infekowaniu urządzeń działających w oparciu o system operacyjny Android.
Gigabud pierwszy raz został zaobserwowany we wrześniu 2022 r. w Azji. Eksperci Group-IB zaczęli rozpracowywać to oprogramowanie na zlecenie klienta z branży finansowej z Tajlandii. Z ich analizy wynika, że Gigabud w odróżnieniu od typowego złośliwego oprogramowania, nie wykonuje złośliwych działań od razu. Zamiast tego czeka na autoryzację użytkownika, przez co jego wykrycie jest znacznie trudniejsze.
Dalsza część artykułu pod materiałem wideo
W raporcie możemy przeczytać też o sposobie gromadzenia danych przez wirusa. Zamiast typowych ataków, które wykorzystują nakładki HTML, Gigabud gromadzi dane przez nagrywanie ekranu.
"Dzięki przechwytywaniu ekranu, Gigabud jest potężnym narzędziem zdalnego dostępu do urządzenia, które umożliwia atakującemu dostęp do konta ofiary. Pozwala ono cyberprzestępcy wykonywać gesty na urządzeniu użytkownika. To zaś prowadzi do możliwości obejścia ochrony, uwierzytelniania (w tym uwierzytelniania dwuskładnikowego) oraz ustawienia automatycznych płatności z urządzenia ofiary" - podaje raport.
Z dalszych analiz wyniknęło, że rodzina Gigabud zrzesza dwa osobne wirusy. Gigabud RAT naśladuje zaufane podmioty, natomiast drugi odłam, czyli Gigabud Loan działa w inny sposób. Wirus ten podszywa się pod nieistniejące instytucje finansowe, nakłaniając użytkowników do ujawnienia poufnych informacji pod pozorem wniosków o pożyczkę. Gigabud Loan działa w taki sposób co najmniej od lipca 2022 r. Wirus podszywa się pod instytucje z Tajlandii, Indonezji i Peru.
Narzędzia takie jak Gigabud są wykorzystywane przez cyberprzestępców w smishingu. Oznacza to, że rozsyłają oni do swoich potencjalnych ofiar wiadomości SMS lub nawiązują kontakt za pośrednictwem komunikatorów internetowych lub serwisów społecznościowych. Oszuści zachęcają do otwierania niebezpiecznych linków pod pretekstem poddania się kontroli podatkowej i ubiegania się o zwrot podatku.
Choć obecnie oprogramowanie to spotykane jest przede wszystkim w Azji, niewykluczone, że w najbliższym czasie nie trafi do Stanów Zjednoczonych i Europy. Warto więc być wyczulonym na podobne działania, nie otwierać linków od nieznanych odbiorców i unikać korzystania z publicznych sieci Wi-Fi.
Karol Kołtowski, dziennikarz dobreprogramy.pl
