В Guildma - одном из сложных семейств банковских троянцев с бразильскими корнями, появился новый зловред Ghimob, c помощью которого атакующие шпионят за своими жертвами, расположенными в том числе в Парагвае, Перу, Португалии, Германии, Анголе и Мозамбике.

Об этом свидетельствуют данные «Лаборатории Касперского».

Это вредоносное ПО внедряется в систему через электронное письмо с сообщением о долге, который якобы числится за адресатом. Получателю предлагается пройти по ссылке, чтобы узнать больше. Если он нажимает на нее, то в систему загружается троянец для удаленного доступа. После успешной установки он отправляет на сервер информацию о модели мобильного устройства, о том, есть ли на нем настройки блокировки экрана, и список приложений.

По данным экспертов, Ghimob может шпионить за 153 мобильными приложениями, в основном принадлежащими банкам, финтех-компаниям, криптовалютным биржам. Этот троянец умеет избегать ручного отключения, собирать данные, манипулировать тем, что изображено на экране, и предоставлять злоумышленникам возможность полностью контролировать устройство с помощью инструментов удаленного доступа.

Ghimob может скрываться от систем по борьбе с мошенничеством, внедряемых финансовыми организациями, и разблокировать экран устройства, так как обладает функцией записи и воспроизведения действий пользователя, в том числе связанных с вводом пароля. Для проведения мошеннической трансакции злоумышленники могут принудительно выключить экран устройства или воспользоваться уже открытым финансовым приложением в фоне, пока человек видит на экране другое приложение.

Продукты компании детектируют новое семейство как Trojan-Banker.AndroidOS.Ghimob.

Чтобы избежать рисков, связанных с атаками банковских троянцев, эксперты рекомендуют финансовым организациямпредоставить сотрудникам по информационной безопасности доступ к самым свежим данным об угрозах; рассказывать клиентам о схемах, которые могут использовать злоумышленники, и о том, как распознавать мошенничество; внедрить решение для борьбы с мошенничеством, которое защищает мобильные каналы от атак с применением инструментов удалённого контроля для проведения мошеннических трансакций.